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Introduęao 


V oce nao pode aprender Linux sem usa-lo. 

Cheguei a essa conclusao depois de mais de urna decada ensinando as pessoas a aprenderem Linux. 
\bce nao pode simplesmente ler um livro, voce nao pode simplesmente ouvir uma palestra. \bce precisa 
de alguem para guia-lo e voce precisa mergulhar no assunto e praticar. 

Em 1999, a Wiley publicou a primeira edięao do livro Linux - A Biblia. O enorme sucesso me deu a 
oportunidade de me tornar um autor de tempo integral e independente sobre o Linux. Por cerca de uma 
decada, escrevi dezenas de livros sobre Linux e explorei as melhores maneiras de explicar Linux a partir 
da ąuietude no meu peąueno escritório domestico. 

Em 2008, peguei a estrada. Fui contratado pela Red Hat, Inc. como um instrutor em tempo integral, 
ensinando Linux para administradores de sistema profissionais que procuram a certificaęao Red Hat 
Certified Engineer (RHCE). Emmeus tres anos como instrutor de Linux, aperfeięoei minhas habilidades 
de ensino na frente de pessoas vivas cuja experiencia em Linux variava de zero a um profissional 
experiente. 

Neste livro, espero aplicar minha experiencia em texto transformando voce de alguem que nunca usou o 
Linux em alguem com as habilidades para se tornar um profissional em Linux. 

Agora em sua oitava edięao, este livro adquiriu um escopo muito amplo em ediędes anteriores. O livro 
cobria varias distribuiędes do Linux, descrevia como executar aplicativos, tocava na questao da 
administraęao de sistema e fornecia uma entrada para o desenvolvimento de software em Linux. Apesar 
de ter sido eleito um dos cinco melhores livros de todos os tempos do Linux ha tres anos, Linux - A 
Biblia tinha perdido seu caminho. 

Esta oitava edięao de Linux - A Biblia representa uma grandę revisao. Quase todo o conteudo anterior 
foi reescrito ou, na maioria dos casos, completamente substituido. O novo foco do livro pode ser 
resumido das seguintes maneiras: 

■ Iniciante a profissional certificado: Desde que voce tenha usado um computador, mouse e 

teclado, voce pode comeęar com este livro. Nós lhe dizemos como obter o Linux e como comeęar 
a usa-lo, passamos por temas criticos e, por firn, chegamos a como dominar a administraęao e 
seguranęa do sistema. 

■ Focado no administrador de sistema: Quando tiver concluido a leitura deste livro, voce nao só 
vai saber como usar o Linux mas como modifica-lo e mante-lo. Todos os tópicos necessarios para 
se tornar um Red Hat Certified Engineer sao abordados neste livro. 

■ Enfase nas ferramentas de linha de comando: Embora a interface grafica de janelas para 
gerenciar o Linux tenha melhorado significativamente nos ultimos anos, muitos recursos 
avanęados só podem ser utilizados digitando comandos e editando arquivos de configuraęao 
manualmente. Nós ensinamos como se tornar proficiente como shell de linha de comando do 
Linux. 



■ Destinado a menos distribuięoes do Linux: Emediędes anteriores, descrevi cerca de 18 

diferentes distribuięóes do Linux. Com apenas algumas exceędes notaveis, distribuiędes do Linux 
mais populares sao ou sao baseadas no Red Hat (Red Hat Enterprise Linux, Fedora, CentOS etc) 
ou no Debian (ETbuntu, Linux Mint, Knoppix etc). Concentrei-me no Red Hat, porque e onde estao 
os trabalhos com Linux mais bem remunerados; abordo um pouco o Ubuntu porque e com ele que 
muitos dos maiores fas do Linux comeęam 

■ Muitas, muitas demos e exercicios: Em vez de apenas dizer o que o Linux faz, eu realmente 

mostro o que ele faz. Entao, para garantir que aprendeu o assunto, voce tern a oportunidade de 
experimentar os exercicios sozinhos. Todos os procedimentos e exercicios foram testados para 
funcionar no Fedora ou no Red Hat Enterprise Linux. Muitos vao funcionar no Ubuntu tambem. 


Como este livro esta organizado _ 

O livro esta organizado para que voce possa comeęar logo no inicio com o Linux e crescer para se tornar 
um administrador de sistema Linux profissional e um “power user”, um usuario avanęado. 

A Parte I, “Comeęando”, inclui dois capitulos destinados a ajudar voce a entender o que e o Linux e 
apresenta um desktop Linux: 

■ O Capitulo 1, “Comeęando com o Linux”, aborda temas como o que e o sistema operacional Linux, 

de onde ele vem e como comeęar a usa-lo. 

■ O Capitulo 2, “Criando o desktop perfeito em Linux”, fornece informaęóes sobre como voce pode 

criar um sistema desktop e usar alguns dos recursos de desktop mais populares. 

A Parte II, “Tornando-se um usuario avanęando do Linux”, fornece detalhes em profundidade sobre como 
usar o shell do Linux, trabalhar com sistemas de arquivos, manipular arquivos de texto, gerenciar 
processos e usar Scripts de shell: 

■ O Capitulo 3, “Utilizando o Shell”, inclui informaęóes sobre como acessar um shell, executar 

comandos, recuperar comandos (usando o histórico) e usar o completamento de comando com a 
tecla Tab. O capitulo tambem descreve como usar variaveis, aliases e paginas do manuał. 

■ O Capitulo 4, “Movendo-se pelo sistema de arquivos”, inclui comandos para listar, criar, copiar e 

mover arquivos e diretórios. Tópicos mais avanęados neste capitulo incluema seguranęa do 
sistema de arquivos, tais como a posse de arquivo, permissóes e listas de controle de acesso. 

■ O Capitulo 5, “Trabalhando com arquivos de texto”, inclui tudo, desde editores de textos basicos 

ate ferramentas para encontrar arquivos e pesquisar texto dentro de arquivos. 

■ O Capitulo 6, “Gerenciando processos em execuęao”, descreve a forma de ver os processos que 

estao emexecuęao no sistema e alterar esses processos. Maneiras de alterar processos incluem 
eliminar, pausar e enviar outros tipos de sinais. 

■ O Capitulo 7, “Escrevendo Scripts de shell simples”, inclui comandos e funęóes de shell que voce 

pode reunir em um arquivo para ser executado como um unico comando. 




Na Parte III, “Tornando-se um administrador de sistema Finux”, voce aprende a administrar sistemas 
Linux: 


■ O Capltulo 8, “Aprendendo administraęao de sistema”, fornece informaęóes basicas sobre 

ferramentas graficas, comandos e arquivos de configuraęao para a administraęao de sistemas 
Linux. 

■ O Capitulo 9, “Instalando o Linux”, aborda as tarefas de instalaęóes comuns, como o 

particionamento de disco e a seleęao inicial do pacote de software, assim como ferramentas de 
instalaęao avanęadas, como a instalaęao a partir de arquivos kickstart. 

■ O Capitulo 10, “Obtendo e gerenciando software”, fornece urna compreensao de como os pacotes 

de software funcioname como obte-los e gerencia-los. 

■ O Capitulo 11, “Gerenciando contas de usuario”, discute ferramentas para adicionar e excluir 

usuarios e grupos, bem como a forma de centralizar o gerenciamento de conta de usuario. 

■ O Capitulo 12, “Gerenciando discos e sistemas de arquivos”, fornece informaęóes sobre a adięao 

de partięóes, criar e montar sistemas de arquivos, bem como trabalhar com gerenciamento de 
volume lógico. 

Na Parte W, “Tornando-se um administrador de servidor Linux”, voce aprendera a criar servidores de 
rede poderosos e as ferramentas necessarias para gerencia-los: 

■ O Capitulo 13, “Entendendo administraęao de servidores”, aborda o registro emlog remoto, 

ferramentas de monitoramento e o processo de inicializaęao do Linux. 

■ O Capitulo 14, “Administrando redes”, discute a configuraęao de rede. 

■ O Capitulo 15, “Iniciando e parando servięos”, fornece informaęóes sobre como iniciar e parar 

servięos de rede. 

■ O Capitulo 16, “Configurando um servidor de impressao”, descreve como configurar impressoras 

para usar localmente no seu sistema Linux ou atraves da rede a partir de outros computadores. 

■ O Capitulo 17, “Configurando um servidor web”, descreve como configurar um servidor Web 

Apache. 

■ O Capitulo 18, “Configurando um servidor FTP”, aborda os procedimentos para a configuraęao de 

um servidor FTP que pode ser usado para permitir que outros baixem arquivos de seu sistema 
Finux atraves da rede. 

■ O Capitulo 19, “Configurando um servidor de compartilhamento de arquivos do Windows 

(Samba)”, abrange configuraęao do servidor de arquivos Windows como Samba. 

■ O Capitulo 20, “Configurando um servidor de arquivos NFS”, descreve como usar os recursos de 

rede do sistema de arquivos para compartilhar pastas de arquivos entre sistemas em urna rede. 

■ O Capitulo 21, “Soluęao de problemas do Finux”, abrange ferramentas populares para a soluęao 

de problemas no seu sistema Finux. 



Na Parte Y “Aprendendo tecnicas de seguranęa do Linux”, voce aprende a proteger seus sistemas e 
servięos Linux: 

■ O Capitulo 22, “Entendendo a seguranęa basica do Linux”, aborda os conceitos e tecnicas basicas 

de seguranęa. 

■ O Capitulo 23, “Entendendo seguranęa avanęada do Linux”, fornece informaęóes sobre o uso de 

Pluggable Authentication Modules (PAM) e ferramentas de criptologia para reforęar a seguranęa 
e autenticaęao do sistema. 

■ O Capitulo 24, “Aprimorando a seguranęa do Linux com o SELinux”, mostra como ativar Security 

Enhanced Linux (SELinux) para garantir os servięos do sistema. 

■ O Capitulo 25, “Protegendo Linux na rede”, abrange recursos de seguranęa de rede, como 

firewalls iptables, para garantir a seguranęa dos servięos do sistema. 

A Parte VI contemdois apendices para ajudar voce a obter o maximo de sua compreensao do Linux. O 
Apendice A, “Midia”, fornece orientaęao sobre download de distribuięóes do Linux. O Apendice B, 
“Respostas dos Exercicios”, fornece soluęóes de exemplo para os exercicios incluidos nos capitulos 2 a 
25. 

Conyenęóes utilizadas neste livro _ 

Ao longo do livro, urna tipografia especial indica código e comandos. Comandos e códigos sao 
mostrados em urna fonte monoespaęada: 

This is how codę looks. 

No caso de um exemplo incluir tanto a entrada como a saida, a fonte monoespaęada e ainda usada, mas a 
entrada e apresentada emnegrito para diferenciar umdo outro. Eis umexemplo: 

$ ftp ftp.handsonhistory.com 

Name (home:jake): jake 
Password: ****** 

Quanto aos estilos no texto: 

■ Novos termos e palavras importantes aparecem em itólico ąuando introduzidos. 

■ Teclas de atalho aparecem assim: Ctrl+A 

■ Nomes de arquivos, URLs e código dentro do texto aparecem assim: 

persistence.properties. 

Os seguintes itens chamama atenęao para pontos que sao particularmente importantes. 




caixa de Nota fornece informaęóes extras para as quais voce precisa dedicar urna atenęao especial. 


:a 

caixa de Dica mostra urna maneira especial de realizar urna tarefa em particular. 


nęao 

caixa de Atenęao alerta para voce tomar cuidado especial ao executar um procedimento ou seu hardware ou 
are pode ser danificado. 


Mergulhando no Linux _ 

Se voce e iniciante emLinux, pode ter vagas ideias sobre o que ele e e de onde veio. \bce ja deve ter 
ouvido algo sobre ele ser “free” no sentido de “gratuito” ou no sentido de “livre” (como a liberdade de 
usa-lo como voce quiser). Antes de comeęar a por as maos no Linux (o que faremos embreve), o 
Capltulo 1 procura responder algumas de suas perguntas sobre as origens e os recursos do Linux. 

Dedique um tempo para estudar este livro a firn de entender o Linux e como voce pode faze-lo trabalhar 
para atender suas necessidades. Esse e o seu convite para entrar e dar o primeiro passo para se tornar um 
especialista em Linux! 


siteositeL/nuxBible 

ira encontrar links para as varias distribuięóes do Linux, dicas sobre como obter a 
rtificaęao Linux e correęoes para o livro a medida que se tornam disponiveis, visite 
p://www. wiley.com/WileyCDA/. 












.. ® 
Linux 

A Biblia 


Traduęao da 8 a Edięao 



Parte I 


Comeęando 

NESTA PARTE 

Capftulo 1 

Comeęando com o Linux 

Capftulo 2 

Criando o Desktop Perfeito em Linux 



Comeęando com o Linux 


CAPITUL^) 


NESTE CAPITULO 

Aprendendo o que e Linux 

Aprendendo de onde o Linuxveio 

Escolhendo distribuięóes Linux 
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O Linux e um dos avanęos tecnológicos mais importantes do seculo XXI. Alem de seu impacto sobre 
o crescimento da internet e do seu lugar como urna tecnologia capacitadora para urna serie de 
dispositivos baseados em computador, o desenvolvimento do Linux tern sido um exemplo de como 
projetos colaborativos podemultrapassar o que as pessoas e empresas individuais podemfazer sozinhas. 

O Google roda milhares e milhares de servidores Linux para fornecer sua tecnologia de busca. Seus 
telefones Android sao baseados no Linux. Da mesma forma, quando voce baixa e executa o Google 
Chrome OS, voce tern um navegador que e apoiado por um sistema operacional Linux. 

O Facebook constrói e implanta em seu site usando o que e conhecido como urna pilha LAMP (Linux, 
servidor web Apache, banco de dados MySQL e linguagemde script web PHP) — todos sao projetos 
open source, isto e, baseados em código livre. Na yerdade, o próprio Facebook usa um modelo de 
desenvolvimento de código-fonte aberto, tornando o código-fonte para os aplicativos e ferramentas que 
guiam o Facebook disponiveis para o publico. Esse modelo tern ajudado o Facebook a eliminar bugs 
rapidamente, obter contribuięóes de todo o mundo e impulsionar o crescimento exponencial dessa rede 
social. 

Organizaęóes financeiras que tern trilhdes de dólares dependendo da velocidade e da seguranęa de seus 
sistemas operacionais tambem se baseiam muito no Linux. Essas incluem as bolsas de valores de Nova 
York, Chicago e Tóquio. 

A ampla adoęao do Linux em todo o mundo criou urna demanda enorme pelo seu conhecimento. Este 
capitulo inicia voce emumcaminho para se tornar um especialista emLinux, ajudando-o a entender o que 
o Linux e, de onde veio e quais sao suas oportunidades por se tornar proficiente nesse sistema. O restante 
deste livro fornece atividades praticas para lhe aj udar a ganhar essa experiencia. 



Entendendo o que e o Linux 

Linux e um sistema operacional de computador. Um sistema operacional consiste no software que 
gerencia seu computador e permite que voce execute aplicativos nele. O que caracteriza os sistemas 
operacionais Linux e similares e: 

■ Detectar e preparar hardware — Quando o sistema Linux inicializa (quando voce liga seu 

computador), ele olha para os componentes em seu computador (CPU, disco rigido, placas de 
rede etc.) e carrega os softwares (drivers e módulos) necessarios para acessar dispositivos de 
hardware especificos. 

■ Gerenciar processos — O sistema operacional deve manter o controle de varios processos em 

execuęao ao mesmo tempo e decidir quais tern acesso a CPU e quando. O sistema tambem deve 
oferecer formas de iniciar, parar e alterar o status dos processos. 

■ Gerenciar memória — Memória RAM e espaęo de troca (memória estendida) precisam ser 

alocados para aplicativos conforme eles precisam de memória. O sistema operacional decide 
como as solicitaęóes de memória sao manipuladas. 

■ Fornecer interfaces de usuario — Um sistema operacional deve fornecer maneiras de acessar o 

sistema. Os primeiros sistemas Linux eram acessados a partir de um interpretador de linha de 
comando chamado shell. Hoje, as interfaces graficas desktop estao comumente disponiveis. 

■ Controlar sistemas de arquivos — Estruturas do sistema de arquivos sao incorporadas ao sistema 

operacional (ou carregadas como módulos). O sistema operacional controla a posse e acesso aos 
arquivos e diretórios que contemos sistemas de arquivos. 

■ Proporcionar acesso e autenticaęao de usuario — Criar contas de usuarios e definir limites para 

eles e urna caracteristica basica do Linux. Separar contas de usuario e de grupo permite o 
controle de seus próprios arquivos e processos. 

■ Oferecer utilitarios administrativos — No Linux, existem centenas (talvez milhares) de comandos e 

janelas graficas para fazer coisas como adicionar usuarios, gerenciar discos, monitorar a rede, 
instalar softwares e, de maneira geral, proteger e gerenciar seu computador. 

■ Iniciar servięos — Para utilizar impressoras, tratar mensagens de log e fornecer urna variedade de 

sistemas e servięos de rede, processos rodam em segundo piano, a espera de pedidos por vir. Ha 
muitos tipos de servięos que sao executados no Linux e ele fornece diferentes maneiras de iniciar 
e parar esses servięos. Emoutras palavras, enquanto o Linuxpossui navegadores para exibir 
paginas da web, ele tambem pode ser aquele que serve essas paginas a outros. Recursos de 
servidores populares incluem servidores de web, e-mail, banco de dados, impressora, arquivo, 
DNS e DHCP. 

■ Ferramentas de programaęao — Urna grandę variedade de utilitarios de programaęao para criar 

aplicativos e bibliotecas a firn de implementar interfaces especiais estao disponiveis com o 
Linux. 

Como um gerenciador de sistemas Linux, voce precisa aprender a trabalhar com as caracteristicas 




descritas anteriormente. Embora muitos recursos possam ser gerenciados usando interfaces graficas, uma 
compreensao da linha de comando do shell e fundamental para alguem que administra sistemas Linux. 

Os modernos sistemas Linux agora vao muito alem do que podiam os primeiros sistemas UNIX (em que o 
Linux se baseava). Recursos avanęados no Linux, frequentemente usados emgrandes empresas, incluem 
os seguintes: 

■ Clustering — O Linux pode ser configurado para trabalhar em “clusters”, ou aglomerados de 

computadores, de modo a fazer varios sistemas aparecerem como um sistema para o mundo 
exterior. Os servięos podem ser configurados para se distribmrem entre os nós do cluster, 
enquanto, para aqueles que os utilizam, pareęam estar funcionando sem interrupęao. 

■ Yirtualizaęao — Para gerenciar recursos de computaęao de forma mais eficiente, o Linux pode 

funcionar como um servidor de yirtualizaęao. Nesse seryidor, voce pode executar outros sistemas 
Linux, Microsoft Windows, BSD, ou outros sistemas operacionais como conyidados yirtuais. 

Para o mundo exterior, cada um dos conyidados yirtuais aparece como um computador separado. 
O KVM e o Xen sao duas tecnologias em Linux para a criaęao de maquinas yirtuais. Red Hat 
Enterprise Yirtualization e um produto da Red Hat, Inc. para gerenciar multiplos seryidores de 
yirtualizaęao, conyidados yirtuais e armazenamento de dados. 

■ Computaęao em tempo real — O Linux pode ser configurado para computaęao em tempo real, em 

que os processos de alta prioridade possam esperar uma atenęao rapida e previsivel. 

■ Armazenamento especializado — Em vez de apenas armazenar dados no disco rigido do 

computador, yarias interfaces especializadas de armazenamento local e em rede estao disponiyeis 
emLinux. Dispositivos compartilhados de armazenamento em Linux incluem o iSCSI, o Fibrę 
Channel e o InfiniBand. 

Muitos desses tópicos avanęados nao sao abordados neste livro. Mas os recursos abordados aqui para 
usar o shell, trabalhar com discos, iniciar e parar seryięos e configurar uma grandę yariedade de 
seryidores devemservir como uma base para trabalhar comesses recursos ayanęados. 


Entendendo como o Linux difere 

de outros sistemas operacionais _ 

Se voce e novo no Linux, e provavel que tenha usado um sistema operacional Microsoft Windows ou 
Apple Mac OS. Embora o Mac OS X tenha suas raizes emum sistema operacional de software livre, 
referido como Berkeley Software Distribution (mais sobre isso mais adiante), os sistemas operacionais 
da Microsoft e da Apple sao considerados sistemas operacionais proprietarios. Isso significa que: 

■ Abce nao pode ver o código usado para criar o sistema operacional. 

■ Abce, portanto, nao pode alterar o sistema operacional em seus niveis mais basicos se ele nao 

atender suas necessidades — e voce nao pode usar o sistema operacional para construir seu 
próprio sistema operacional a partir do código-fonte. 




■ Abce nao pode verificar o código para encontrar erros, explorar vulnerabilidades de seguranęa, ou 

simplesmente saber o que o código esta fazendo. 

■ Abce pode nao ser capaz de facilmente conectar seu próprio software com o sistema operacional se 

os criadores desse sistema nao ąuiserem expor as interfaces de programaęao que voce precisa 
para o mundo exterior. 

Abce pode ler as declaraęóes sobre o software proprietario e dizer: “O que me importa? Eu nao sou um 
desenvolvedor de software. Eu nao quero ver ou mudar o modo como meu sistema operacional e 
construido.” 

Isso pode ser verdade. Mas o fato de que outros podemter software livre e de código-fonte aberto e usa- 
lo como quiserem tern impulsionado o crescimento explosivo da internet, telefones celulares (pense no 
Android), dispositivos de computaęao especiais (pense no Tivo) e centenas de empresas de tecnologia. O 
software livre baixou os custos de computaęao e permitiu urna explosao de inovaęao. 

Talvez voce nao queira usar o Linux — de forma semelhante a que o Google, o Facebook e outras 
empresas temusado — para construir a fundaęao de urna empresa de bilhdes de dólares. Mas essas e 
outras empresas que agora contam com o Linux para conduzir suas infraestruturas de computador estao 
precisando de cada vez mais pessoas com as habilidades para rodar esses sistemas. 

Abce pode se perguntar como um sistema de computador que e tao poderoso e flexivel tornou-se livre 
tambem. Para entender como isso aconteceu, voce precisa ver de onde o Linux veio. Assim, a próxima 
seęao deste capitulo descreve o caminho estranho e sinuoso do movimento do software livre que levou 
ao Linux. 


Explorando a historia do Linux 

Algumas histórias do Linux comeęam com essa mensagem postada por Linus Torvalds no newsgroup 
comp . os . minix em 26 de agosto de 1991 

(http://groups.google.com/group/comp.os.minix/msg/b813d52cbc5a044b): 

Linus Benedict Torvalds 

Ola pessoal por ai usando minix - 

Estou criando um sistema operacional (livre) (apenas um hobby, nao sera grandę e profissional como o 
gnu) para clones AT 386(486). Ele vem crescendo desde abril e esta comeęando a ficar pronto. Eu 
gostaria de qualquer feedback das pessoas sobre o que gostaram ou nao no minix, urna vez que meu OS se 
parece um pouco com ele (mesmo layout fisico do sistema de arquivos (devido a razóes praticas, entre 
outras coisas)... Quaisquer sugestóes serao bem-vindas, mas nao prometo que vou implementa-las. :-) 

Linus (torvalds@kruuna.helsinki.fi) 

P.S.: Sim— nao contem nenhum código minix e temumfs multi-threaded. NAO e portavel [sic] (usa 
alternancia de tarefas de 386 etc) e provavelmente nunca vai suportar outra coisa senao discos rigidos 
AT, ja que isso e tudo o que tenho. :-( 

O Minix era um sistema operacional tipo UNIX que rodava em PCs no inicio da decada de 1990. Assim 




como o Minix, o Linux tambem era um clone do sistema operacional UNIX. Com poucas exceę5es, como 
o Microsoft Windows, sistemas de computadores mais modernos (incluindo Mac OS X e Linux) eram 
provenientes de sistemas operacionais UNIX, criados originalmente pela AT&T. 

Para apreciar yerdadeiramente como um sistema operacional livre poderia ter sido projetado combase 
emum sistema proprietario dos Laboratórios Bell da AT&T, ajuda entender a cultura emque o UNIX foi 
criado e a cadeia de eyentos que tornaram possiyel reproduzir liyremente a essencia desse sistema. 


ta 

saber mais sobre como o Linux foi criado, pegue o livro Just For Fun: The Story of an Accidenta! 
olutionary, de Linus Torvalds (Harper Collins Publishing, 2001). 


A cultura de fluxo livre do UNIX no Bell Labs 

Desde o inicio, o sistema operacional UNIX foi criado e nutrido emumambiente de comunidade. Sua 
criaęao nao foi impulsionada por necessidades do mercado, mas por umdesejo de superar os obstaculos 
na produęao de programas. A AT&T, que detinha a marca UNIX originalmente, acabou transformando o 
UNIX em um produto comercial, mas a essa altura, muitos dos conceitos (e ate mesmo grandę parte do 
código inicial) que tornavam o UNIX especial tinham caido em dominio publico. 

Se voce nao tern idade suficiente para lembrar quando a AT&T se diyidiu, em 1984, voce pode nao se 
lembrar de urna epoca em que a AT&T era “a” companhia telefonica. Ate o inicio de 1980, a AT&T nao 
precisava pensar muito em competięao, porque se voce queria um telefone nos Estados Unidos, tinha de 
recorrer a AT&T. Ela se dava ao luxo de financiar projetos de pesquisa pura. A Meca para tais projetos 
era o Bell Laboratories, em Murray Hill, Nova Jersey. 

Depois que umprojeto chamado Multics falhoupor volta de 1969, os funcionarios da Bell Labs Ken 
Thompson e Dennis Ritchie decidiram sair e criar por conta própria um sistema operacional que 
oferecesse ummelhor ambiente para o desenvolvimento de software. Naquela epoca, a maioria dos 
programas era escrita em cartóes perfurados que tinham de ser inseridos em lotes em computadores 
mainframe. Em urna palestra em 1980 sobre “AEvoluęao do Sistema de Compartilhamento de Tempo do 
UNIX”, Dennis Ritchie resumiu o espirito que iniciou o UNIX: 

O que queriamos preservar era nao só umbom ambiente para fazer programaęao, mas um sistema em 
torno do qual um companheirismo poderia se formar. Sabiamos, por experiencia, que a essencia da 
computaęao em comunidade da maneira proporcionada pelo acesso remoto e o compartilhamento de 
tempo de maquinas nao e apenas para di gitar programas emum terminal emvez de umfurador de 
papel, mas para encorajar a comunicaęao de perto. 

A simplicidade e o poder do projeto UNIX comeęou a quebrar as barreiras que, ate esse ponto, impediam 
os desenvolvedores de software. Afundaęao do UNIX foi criada comvarios elementos-chave: 

■ O sistema de arquivos UNIX — Porque incluia urna estrutura que permitia niveis de subdiretórios 
(os quais, para os usuarios de desktop de hoje, parecem pastas dentro de pastas), o UNIX poderia 
ser usado para organizar os arquivos e diretórios de forma intuitiya. Alem disso, os complexos 






metodos de acessar discos, fitas e outros dispositivos foram significativamente simplificados, 
representando esses dispositivos como arquivos de dispositivos individuais que voce tambem 
podia acessar como itens em um diretório. 

■ Redirecionamento de entrada/saida — Os primeiros sistemas UNIX tambem inclmam 

redirecionamento de entrada. A partir de urna linha de comando, os usuarios UNIX podiam 
direcionar a saida de um comando para um arquivo usando urna tecla de seta para a direita (>). 
Mais tarde, o conceito de redirecionamento (usando o caractere |, conhecido como “pipę” em 
ingles) foi ampliado fazendo a saida de um comando ser direcionada para a entrada de outro. Por 
exemplo, o comando a seguir concatena (cat) o arquivol e arquivo2, ordena (sort) as linhas 
nesses arquivos alfabeticamente, pagina o texto classificado para a impressao (pr) e direciona a 
saida para a impressora padrao do computador (lpr): 

$ cat filel file2 | sort | pr | lpr 

Esse metodo de direcionar entrada e saida permitiu aos desenvolvedores criar seus próprios 
utilitarios especializados que podiam ser vinculados com utilitarios existentes. Essa 
modularidade tornou possivel que lotes de código fossem desenvolvidos por muitas pessoas 
diferentes. Umusuario poderia simplesmente montar as peęas para o que ele precisava. 

■ Portabilidade — Simplificar a experiencia de usar UNIX tambem o tornou extremamente portatil 

para rodar em diferentes computadores. Por ter drivers de dispositivo (representados por 
arquivos na arvore de arquivos), o UNIX poderia apresentar urna interface para aplicaęóes de tal 
forma que os programas nao precisavam saber sobre os detalhes do hardware subjacente. Para 
mais tarde portar o UNIX para outro sistema, os desenvolvedores só precisavam mudar os 
drivers. Os programas aplicativos nao precisavam ser alterados para rodar emum hardware 
diferente! 

Para tornar a portabilidade urna realidade, era necessaria urna linguagem de programaęao de alto nivel a 
firn de implementar o software necessario. Para esse firn, Brian Kernighan e Dennis Ritchie criaram a 
linguagem de programaęao C. Em 1973, o UNIX foi reescrito em C. Hoje, o C ainda e o principal idioma 
usado para criar o kernel dos sistemas operacionais Unix (e Linux). 

Como Ritchie chegou a dizer emuma palestra, em 1979 (hhtp : / / . bell- 

labs . com/who/dmr/hist. html): 

Hoje, o unico programa UNIX importante ainda escrito em assembler e o assembler em si, 
praticamente todos os programas utilitarios estao em C e por isso sao a maioria dos programas, 
embora tambem existam locais com muitos em Fortran, Pascal e Algol 68. Parece certo que a maior 
parte do sucesso do UNIX resulta da legibilidade, modificabilidade e portabilidade do seu software 
que, por sua vez, resulta da sua expressao emlinguagens de alto nivel. 

Se voce e um entusiasta do Linux e esta interessado nos recursos de seus primeiros dias que 
sobreviveramate hoje, urna leitura interessante e a reimpressao do primeiro manuał programador UNIX 
feito por Dennis Ritchie (datado em 3 de novembro de 1971). \bce pode encontra-lo no site de Dennis 
Ritchie: http : / / cm. belllabs . com/cm/cs/who/dmr/ IstEdman . html. A forma dessa 
documentaęao e a das “paginas man” (pagina do manuał) do UNIX — que ainda e o principal fermato 



para documentar comandos de sistema operacional UNIX e Linux e ferramentas de programaęao de hoje 
em dia. 

O que fica claro quando voce le a documentaęao inicial e os relatos do sistema UNIX e que o 
desenvolvimento foi umprocesso de fluxo livre, sem ego, e se dedicou a tornar o UNIX excelente. Esse 
processo levou a um compartilhamento de código (dentro e fora da Bell Labs), o que permitiu o rapido 
desenvolvimento de um sistema operacional UNIX de alta qualidade. Isso tambemlevou a um sistema 
operacional que a AT&T teria dificuldade emrecuperar mais tarde. 


0 UNIX comercializado 

Antes da alienaęao de participaęao societaria da AT&T em 1984, quando ela foi dividida em AT&T e 
sete empresas “Baby Bell”, a AT&T foi proibida de vender sistemas de computador. As empresas que 
mais tarde se tornariam Verizon, Qwest e Alcatel-Lucent eram todas parte da AT&T. Como resultado 
desse monopólio do sistema de telefonia, o governo dos EUA estava preocupado com a possibilidade de 
que urna AT&T irrestrita pudesse dominar a incipiente industria de computadores. 

Por causa disso, a AT&T foi impedida de vender computadores diretamente aos clientes antes de sua 
alienaęao, o código-fonte UNIX foi licenciado para universidades por umvalor simbólico. Nao havia um 
sistema operacional UNIX para venda pela AT&T que voce nao tivesse de compilar por sua própria 
conta. 

Chega a Berkeley Software Distribution 

Em 1975, o UNIX V6 tornou-se a primeira versao UNIX disponivel para uso generalizado fora da Bell 
Laboratories. Apartir desse código-fonte UNIX inicial, a primeira variante importante do UNIX foi 
criada na Universidade da Califórnia, em Berkeley, e foi batizada como Berkeley Software Distribution 
(BSD). 

Durante a maior parte da decada seguinte, as vers5es BSD e UNIX da Bell Labs tomaram direęóes 
distintas. O BSD continuou a frente no estilo fluxo livre e compartilhado, que era a marca do UNIX 
inicial da Bell Labs, enquanto a AT&T comeęava a direcionar o UNIX para a comercializaęao. Com a 
formaęao de um UNIX Laboratory separado, que saiu de Murray Hill e se estabeleceu em Summit, Nova 
Jersey, a AT&T iniciou suas tentativas de comercializar o UNIX. Em 1984, a alienaęao societaria 
imposta pelo governo espreitava a AT&T e ela estava pronta para realmente comeęar a comercializar o 
UNIX. 

0 UNIX Laboratory e a Comercializaęao 

O UNIX Laboratory era considerado urna joia que nao conseguia encontrar umiar ou urna maneira de dar 
lucro. Enquanto se movia entre a Bell Laboratories e outras areas da AT&T, seu nome mudou varias 
vezes. Ele e provavelmente melhor lembrado pelo nome que tinha quando comeęou sua proliferaęao a 
partir da AT&T: UNIX System Laboratories (USL). 

O código-fonte do UNIX que saiu da USL, o legado que agora pertence em parte a Santa Cruz Operation 
(SCO), tern sido usado como base para os processos da SCO contra os principais fornecedores do Linux 
(como a IBM e a Red Hat, Inc.). Por causa disso, acho que os esforęos de USL que contribuiram para o 
sucesso do Linux sao esquecidos pela maioria das pessoas. 



Durante a decada de 1980, naturalmente, muitas empresas de informatica tinham medo de que a recem- 
vendida AT&T representasse uma ameaęa maior para o controle da industria de computadores do que 
seria uma empresa iniciante, em Redmond, Washington. Para acalmar os temores da IBM, Intel, Digital 
Equipment Corporation e outras empresas de informatica, o UNIX Lab fez os seguintes compromissos 
para garantir a igualdade de condięóes: 

■ Código-fonte unico — Em vez de produzir seu próprio conjunto de caixas UNIX, a AT&T 

continuou a vender apenas o código-fonte e torna-lo disponivel igualmente a todos os licenciados. 
Cada empresa, entao, portaria o UNIX para seu próprio equipamento. Mas foi só em 1992, 
quando o laboratório foi desmembrado como uma joint venture com a Novell (chamada Univel) e 
entao acabou sendo yendido para a Novell, que um conjunto comercial em caixa do UNIX 
(chamado UnixWare) foi produzido diretamente a partir daquele código-fonte. 

■ Interfaces publicadas — Para criar um ambiente de justięa e comunidade para seus OEMs 

(fabricantes de equipamentos originais), a AT&T comeęou a padronizar o que os diferentes 
fornecedores de UNIX tinham de ser capazes de fazer para continuar a ser chamado de UNIX. 
Para esse firn, o Portable Operating System Interface (POSIX) e a AT&T UNIX System V 
Interface Definition (SVID) eram especificaęóes que os fornecedores de Unix poderiam usar para 
criar sistemas compativeis com UNIX. Esses mesmos documentos tambem serviram como 
roteiros para a criaęao do Linux. 


ta 

ima postagem inicial no grupo de noticias pore-mail, Linus Torvalds fez um pedido de uma cópia, de preferencja 
e, do padrao P0SIX. Acho que ninguem da AT&T esperava alguem ser realmente capaz de escreverseu próprio 
3 do UNIX a partir dessas interfaces, sem o uso de qualquer parte do seu código-fonte UNIX. 


■ Abordagem tecnica — Mais uma vez, ate o firn da USL, a maioria das decisóes sobre a direęao do 
UNIX eramfeitas combase em consideraęóes tecnicas. O gerenciamento foi promovido entre o 
pessoal tecnico e, ate onde eu sei, nunca houve qualquer conversa sobre escrever um software 
para quebrar o de outras empresas ou restringir o sucesso de parceiros da USL. 

Quando por firn a USL comeęou a contratar especialistas em marketing e criar um produto desktop UNIX 
para usuarios finais, o Microsoft Windows ja tinha uma firmę predominancia no mercado de desktops. 
Tambem, porque a direęao do UNIX tinha ido sempre no sentido do código-fonte de licenciamento 
destinado a sistemas de computaęao de grandę porte, a USL tinha dificuldades para precificar seus 
produtos. Por exemplo, emum software que ela estava incluindo no UNIX, a USL era obrigada a pagar 
taxas de licenciamento por computador que se baseavam em mainframes de US$ 100.000 emvez de 
computadores de US$ 2.000. Adicione a isso o fato de que nao havia programas aplicativos disponiveis 
para o UnixWare e voce pode ver por que o esforęo falhou. 

Mas um marketing de sucesso de sistemas UNIX da epoca estava acontecendo com outras empresas de 
informatica. A SCO tinha encontrado um nicho de mercado, principalmente vendendo versóes para PC do 
UNIX executando terminais burros empequenos escritórios. A Sun Microsystems estava vendendo um 
grandę numero de estaęóes de trabalho UNIX (originalmente baseadas no BSD, mas fundidas com o 
UNIX no SYR4) para programadores e aplicaęóes de tecnologia sofisticada (como bolsas de yalores). 






Outros sistemas UNIX comerciais tambem foram surgindo na decada de 1980. Essa nova afirmaęao de 
propriedade do UNIX estava comeęando a cobrar seu preęo ao espirito das contribuięóes abertas. 
Comeęaram a surgir processos para proteger o código-fonte e marcas comerciais do UNIX. Em 1984, 
esse novo UNIX restritivo deu origem a urna organizaęao que pavimentou urna estrada para o Linux: a 
Free Software Foundation (Fundaęao do Software Livre). 

0 GNU faz a transięao do UNIX para a liberdade 

Em 1984, Richard M. Stallman iniciou o projeto GNU (http : / /www. gnu . org), recursivamente 
chamado pela frase GNUis Not UNIX (GNU Nao e UNIX). Como umprojeto da Free Software 
Foundation (FSF), o GNU era para se tornar urna recodificaęao de todo o sistema operacional UNIX que 
poderia ser distribuida gratuitamente. 

Apagina do projeto GNU (http : / /www. gnu . org/gnu/thegnupro j ect. html) conta a 
historia de como ele surgiu, nas próprias palavras de Stallman. Ele tambem expde os problemas que as 
empresas particulares de software impunham sobre os desenvolvedores que queriam compartilhar, criar e 
inovar. 

Embora reescrever milhóes de linhas de código possa parecer assustador para urna ou duas pessoas, 
distribuir o esforęo entre dezenas ou mesmo centenas de programadores tornou o projeto possivel. 
Lembre-se de que o UNIX foi projetado para ser construido empartes separadas que poderiam ser 
unidas. Como eles estavam reproduzindo comandos e utilitarios com interfaces conhecidas, esse esforęo 
poderia ser facilmente dividido entre muitos desenvolvedores. 

Descobriu-se nao apenas que os mesmos resultados podiam ser alcanęados com um código totalmente 
novo, mas tambem que, em alguns casos, o código era melhor do que as versóes originais do UNIX. 

Como todo mundo podia ver o código sendo produzido para o projeto, o código mai escrito podia ser 
corrigido rapidamente ou substituido ao longo do tempo. 

Se voce esta familiarizado com o UNIX, tente procurar os milhares de pacotes de software GNU para seu 
comando UNIX favorito a partir do Free Software Directory 

(http : / /directory. f sf. org/GNU), Provavelmente, voce vai encontra-lo la, junto commuitos 
outros projetos de software disponivel como suplementos. 

Como tempo, o termo software livre ( free software ) temsido quase sempre substituido pelo software de 
código-fonte aberto ( open source software ). O “software livre” e o preferido pela Free Software 
Foundation, enquanto o software de código-fonte aberto e promovido pela Open Source Initiative 

(http : / /www . opensource . org). 

Para acomodar ambos os campos, algumas pessoas usam o termo Free and Open Source Software 
(FOSS) em seu lugar. Umprincipio subjacente do FOSS, porem, e que, embora voce seja livre para usar 
o software que quiser, voce tern alguma responsabilidade para disponibilizar as melhorias que fez no 
código para outros usuarios. Dessa forma, toda a comunidade pode se beneficiar do seu trabalho, assim 
como voce se beneficiou do trabalho dos outros. 

Para definir claramente como software open source deve ser tratado, o projeto de software GNU criou a 
GNU Public Ficense, ou GPF. Embora muitas outras licenęas de software cubram abordagens 
ligeiramente diferentes para proteger o software livre, a GPF e a mais conhecida — e e a unica que cobre 



o próprio kernel do Linux. Caracteristicas basicas da GNU Public License incluemas seguintes: 

■ Direitos do autor — O autor original mantem os direitos para seu software. 

■ Distribuięao livre — As pessoas podem utilizar o software GNU em seu próprio software, alterar 

e redistribm-lo como bemąuiserem. Essas pessoas tern de incluir o código-fonte na sua 
distribuięao (outorna-lo facilmente disponivel). 

■ Direitos autorais mantidos — Mesmo que voce reempacote e revenda o software, o acordo GNU 

original deve ser mantido com o software, o que significa que todos os seus destinatarios futuros 
tern a oportunidade de alterar o código-fonte, assim como voce fez. 

Nao ha garantia em software GNU. Se algo sair errado, o desenvolvedor original do software nao tern 
nenhuma obrigaęao de corrigir o problema. Mas muitas organizaęóes, grandes e pequenas, oferecem 
pacotes de suporte pago para o software quando ele e incluido na sua distribuięao Linux ou outro 
software de código-fonte aberto. (Veja a seęao “Definięao de Código-fonte Aberto da OSI”, mais adiante 
neste capitulo, para urna definięao mais detalhada do software de código aberto.) 

Apesar de seu sucesso na produęao de milhares de utilitarios UNIX, o projeto GNU em si nao conseguiu 
produzir urna peęa fundamental do código: o kernel. Suas tentativas de construir um kernel de código- 
fonte aberto como projeto GNUHurd (http : //www. gnu . org/software/hurd) foram 
malsucedidas. 

0 BSD perde um pouco da sua foręa 

O projeto de software que teve a chance de bater o Linux em ser o primeiro de código-fonte aberto foi o 
antigo e veneravel projeto BSD. No finał da decada de 1980, os desenvolvedores do BSD da 
Universidade da Califórnia (UC) em Berkeley perceberam que ja haviam reescrito a maior parte do 
código-fonte do UNIX que tinham recebido urna decada antes. 

Em 1989, a Universidade de Berkeley distribuiu seu próprio código UNIX como Net/l e mais tarde (em 
1991) como Net/2. Logo que a UC Berkeley comeęou a preparar um completo sistema operacional do 
tipo UNIX livre de todo o código da AT&T, esta entrou com urna aęao judicial em 1992 contra a 
Universidade. A aęao alegava que o software foi escrito usando segredos comerciais obtidos a partir do 
sistema UNIX da AT&T. 

E importante notar aqui que os desenvolvedores do BSD tinham reescrito completamente o código 
protegido por direitos autorais da AT&T. Os direitos autorais eram o principal meio que a AT&T usava 
para proteger seus direitos sobre o código UNIX. Alguns acreditam que se a AT&T tivesse patenteado os 
conceitos abordados nesse código, poderia nao haver um sistema operacional Linux (ou qualquer clone 
do UNIX) hoje. 

A aęao foi abandonada quando a Novell comprou o UNIX System Laboratories da AT&T em 1994. Mas, 
durante esse periodo critico, havia medo e duvidas sobre a legalidade do código BSD, o suficiente para 
que o impulso que o BSD havia ganho a essa altura na jovem comunidade de código-fonte aberto fosse 
perdido. Muitas pessoas comeęaram a procurar outra alternativa de código-fonte aberto. O momento era 
propicio para um estudante uniyersitario da Finlandia que estava trabalhando em seu próprio kernel. 



ta 

, as versóes BSD estao disponiveis a partir de tres grandes projetos: FreeBSD, NetBSD e OpenBSD. As pessoas 
mente caracterizam o FreeBSD como o mais facil de usar, o NetBSD como disponivel para o maior numero de 
iformas de hardware de computador e o OpenBSD como o mais fanaticamente seguro. Muitas pessoas mais 
cupadas com a seguranęa ainda preferem o BSD ao Linux. Alem disso, por causa de seu licenciamento, o código 
pode ser utilizado por fabricantes de software proprietario, como a Microsoft e a Apple, que nao desejam 
partilharo código do seu sistema operacional com os outros. O Mac OS X e construido sobre urn derivado do BSD. 


Linus constrói a peęa que faltava 

Linus Torvalds comeęou a trabalhar no Linux em 1991, quando ainda era um estudante da Universidade 
de Helsinki, na Finlandia. Ele queria criar um kernel tipo UNIX para poder usar o mesmo tipo de sistema 
operacional que ele usava na escola em seu PC em casa. Na epoca, Linus estava usando Minix, mas ele 
queria ir alem do que os padróes Minix permitiam 

Como observado anteriormente, Linus anunciou a primeira versao publica do kernel do Linux para o 
grupo de noticias comp . os . minix, em 26 de agosto de 1991, embora Torvalds ache que a primeira 
yersao nao chegou a sair ate meados de setembro do mesmo ano. 

Embora Torvalds afirmasse que o Linux foi escrito para o processador 386 e provavelmente nao era 
portavel, outros continuaram a incentivar (e contribuir para) urna abordagem mais portayel nas primeiras 
vers5es do Linux. Em 5 de outubro, o Linux 0.02 foi lanęado com grandę parte do código assembly 
original reescrito na linguagem de programaęao C, o que tornou possivel comeęar a porta-lo para outras 
maquinas. 

O kernel do Linux foi a ultima — e mais importante — parte do código necessaria para completar um 
sistema operacional do tipo UNIX completo sob a GPL. Entao, quando as pessoas comeęaram a montar 
as distribuiędes, foi o nome Linux e nao GNU que pegou. Algumas distribuięóes, como o Debian, porem, 
referem-se a si mesmas como distribuięóes GNU/Linux. (A nao inclusao da palavra GNU no titulo ou 
subtitulo de um sistema operacional Linux tambem e motivo de muitas reclamaęóes publicas de alguns 
membros do projeto GNU Ver http : / /www. gnu . org.) 

Hoje, o Linux pode ser descrito como um sistema operacional de código-fonte aberto tipo UNIX, que 
reflete urna combinaęao de conformidade de padróes com o SVID, o POSIX e o BSD. O Linux continua a 
apontar para a conformidade com o POSIX, bem como com as normas estabelecidas pelo proprietario da 
marca UNIX, The Open Group (http : / /www. unix . org). 

A organizaęao sem fins lucrativos Open Source Development Labs, rebatizada como Linux Foundation 
após a fusao como Free Standards Group (http : / /www. linuxf oundation . org), que emprega 
Linus Torvalds, gerencia hoje a direęao dos esforęos de desenvolvimento do Linux. Sua lista de 
patrocinadores e como um “Quem e Quem” dos fornecedores de sistema e aplicativos Linux comerciais, 
incluindo IBM, Red Hat, SUSE, Oracle, HP, Dell, Computer Associates, Intel, Cisco Systems, entre 
outros. O principal objetivo da Linux Foundation e proteger e acelerar o crescimento do Linux, 
fornecendo proteęao juridica e padróes de desenvolvimento de software para desenvolvedores Linux. 

Embora grandę parte dos esforęos do Linux seja voltada para a computaęao corporatiya, grandes 






aprimoramentos tambem continuam na area do desktop. Os ambientes de desktop KDE e GNOMĘ 
aprimoram continuamente a experiencia do Linuxpara usuarios casuais. Ambientes de trabalho “leves” 
mais recentes, como o Xfce e o LXDE agora oferecem alternativas eficientes que hoje trazemo Linux 
para milhares de usuarios de netbooks. 

Linus Toryalds continua a manter e aprimorar o kernel do Linux. 


ta 

uma historia mais detalhada do Linux, consulte o livro Open Sources: Voice s from the Open Source 
olution (0’Reilly, 1999). A primeira edięao esta disponivel online em 

.p://oreilly.com/catalog/opensources/book/toc.html. 


Definięao de código-fonte aberto da OSI 

O Linux fornece uma plataforma que permite que os desenvolvedores de software alterem o sistema 
operacional como quisereme obtenhamuma ampla gama de formas de ajuda para criar os aplicativos que 
precisam. Um dos caes de guarda do movimento de código-fonte aberto e a Open Source Initiative (OSI, 

http : / /www . opensource . org). 

Embora o objetivo principal de software de código-fonte aberto seja disponibilizar o código-fonte, 
outros objetivos tambem sao definidos pela OSI. Amaioria das regras a seguir para licenęas de código- 
fonte aberto aceitaveis servempara proteger a liberdade e a integridade do código-fonte aberto: 

■ Distribuięao gratuita — Uma licenęa de código-fonte aberto nao pode exigir uma taxa de quem 

revende o software. 

■ Código-fonte — O código-fonte deve ser incluido com o software e nao pode haver restrięóes a 

sua redistribuięao. 

■ Obras derivadas — A licenęa deve permitir a modificaęao e a redistribuięao do código sob os 

mesmos termos. 

■ Integridade do código-fonte do autor — A licenęa pode exigir que aqueles que usam o código-fonte 

removamo nome ou a versao do projeto original se eles alteraremo código-fonte. 

■ Nao discriminaęao contra pessoas ou grupos — A licenęa deve permitir que todas as pessoas 

possamusar o código-fonte. 

■ Nenhuma discriminaęao contra os campos de atividade — A licenęa nao pode restringir um projeto 

de usar o código-fonte porque e comercial ou porque esta associado a um campo de trabalho de 
que o fornecedor do software nao gosta. 

■ Distribuięao da licenęa — Nenhuma licenęa adicional deve ser necessaria para usar e redistribuir 

o software. 

■ A licenęa nao deve ser especifica para um produto — A licenęa nao pode restringir o código-fonte 

a uma distribuięao de software especifico. 






■ A licenęa nao deve restringir outro software — A licenęa nao pode impedir que alguem inclua o 

software de código-fonte aberto na mesma rmdia que o software de código-fonte nao aberto. 

■ A licenęa deve ser tecnologicamente neutra — A licenęa nao pode restringir os metodos em que o 

código-fonte pode ser redistribmdo. 

Licenęas de código-fonte aberto usadas por projetos de desenvolvimento de software devematender a 
esses criterios para serem aceitas como software de código-fonte aberto pela OSI. Mais de 40 diferentes 
licenęas sao aceitas pela OSI para serem usadas a firn de marcar o software como o “OSI Certified Open 
Source Software”. Alemda GPL, outros populares licenęas aprovadas pela OSI incluem: 

■ LGPL — A GNU Lesser General Public License (LGPL) e frequentemente usada para a 

distribuięao de bibliotecas das quais outros programas de aplicaęao dependem 

■ BSD — A licenęa Berkeley Software Distribution permite a redistribuięao do código-fonte, com a 

exigencia de que o código-fonte mantenha o aviso de direitos autorais BSD e nao use os nomes 
dos colaboradores para apoiar ou promover software derivado sem autorizaęao por escrito. A 
principal diferenęa da GPL, porem, e que o BSD nao requer que as pessoas que modificamo 
código passemessas mudanęas para a comunidade. Como resultado, os fornecedores de software 
proprietario, como a Apple e a Microsoft tern utilizado código BSD em seus próprios sistemas 
operacionais. 

■ MIT — A licenęa MIT e como a licenęa BSD, exceto que nao inclui a exigencia de suporte e 

promoęao. 

■ Mozilla — A licenęa Mozilla abrange o uso e redistribuięao de código-fonte associado com o 

navegador Firefox e outros softwares relacionados ao projeto Mozilla 
(http : //www. mozilla . org). E urna licenęa muito mais longa que as outras ja 
mencionadas, pois contem mais definięóes de como os colaboradores e aqueles que reutilizam o 
código-fonte devem se comportar. Isso inclui a apresentaęao de um arquivo de mudanęas ao fazer 
modificaęóes, e que aqueles que fazem suas próprias adięóes ao código para a redistribuięao 
devem estar cientes dos problemas de patentes ou outras restrięóes associadas ao seu código. 

O resultado finał do código-fonte aberto e um software que tern urna maior flexibilidade para crescer e 
menos fronteiras na forma como pode ser usado. Muitos acreditam que o fato de que um grandę numero 
de pessoas examinamo código-fonte de um projeto resulta em software de maior qualidade para todos. 
Como o defensor do código-fonte aberto Erie S. Raymond diz emuma frase muito citada: “Muitos olhos 
fazem todos os bugs emergirem”. 

Entendendo como as distribuięóes Linuxsurgiram 

Ter pacotes de código-fonte espalhados pela internet que podem ser compilados e empacotados em um 
sistema Linux funcionou bem para os geeks. Os usuarios mais casuais de Linux, porem, precisavamde 
urna maneira mais simples de montar um sistema Linux. Para responder a essa necessidade, alguns dos 
melhores nerds comeęaram a construir suas próprias distribuięóes Linux. 

Urna distribuięao Linux e composta dos componentes necessarios para criar um sistema de trabalho Linux 




e os procedimentos necessarios para ter os componentes instalados e funcionando. Tecnicamente, o Linux 
e realmente apenas o que e referido como kernel. Antes de o kernel poder ser util, voce deve ter outros 
softwares, como comandos basicos (utilitarios GNU), servięos que pretende oferecer (como login remoto 
ou servidores web) e, possivelmente, urna interface de desktop e aplicativos graficos. Entao, voce deve 
ser capaz de juntar tudo isso e instala-lo no disco rlgido do seu computador. 

O Slackware (http : / /www. slackware . com) e urna das mais antigas distribuięóes Linux que ainda 
hoje estao sendo desenvolvidas. Ele tornou o Linux amigavel para usuarios menos tecnicos, distribuindo 
software ja compilado e agrupado empacotes (os pacotes de componentes de software eramchamados 
de tarballs). Costumava-se usar comandos basicos do Linux na epoca para fazer coisas como formatar o 
disco, ativar o swap (troca de dados entre a memória e o disco) e criar contas de usuario. 

Em pouco tempo, muitas outras distribuięóes Linux foram criadas, algumas delas para atender a 
necessidades especiais, como o KNOPPIX (um live CD 1 Linux), o Gentoo (um Linux elegante e 
customizayel) e o Mandrake (mais tarde chamado Mandriya, que foi urna das varias distribuięóes de 
Linuxpara desktop). Mas duas principais distribuięóes cresceram para se tornarem a base para muitas 
outras distribuięóes: o Red Hat Linux e o Debian. 

Escolhendo uma distribuięao Red Hat 

Quando a Red Hat Linux apareceu no finał da decada de 1990, rapidamente se tornou a mais popular 
distribuięao Linux por varias razóes: 

■ Gerenciamento de pacotes RPM — Embora os tarballs sejambons para instalar software em seu 

computador, eles nao funcionam tao bem quando voce quer atualizar, remoyer ou mesmo saber 
mais sobre esse software. O Red Hat criou o fermato de empacotamento RPM; assim, umpacote 
de software pode conter nao só os arquivos a serem compartilhados, mas tambem informaęóes 
sobre a versao do pacote, quem o criou, quais arquivos eram documentaęao ou arquivos de 
configuraęao e quando foram criados. Ao instalar software empacotado em fermato RPM, essas 
informaędes sobre cada pacote de software podemser armazenadas emumbanco de dados RPM 
local. Tornou-se facil encontrar o que foi instalado, atualiza-lo ou remove-lo. 

■ Instalaęao simples — O instalador Anaconda tornou muito mais simples instalar o Linux. Como um 

usuario, voce podera percorrer algumas perguntas simples, na maioria dos casos aceitando 
padroes para instalar o Red Hat Linux. 

■ Administraęao grafica — O Red Hat adicionou simples ferramentas graficas para configurar 

impressoras, adicionar usuarios, definir a hora e a data, e fazer outras tarefas administrativas 
basicas. Como resultado, os usuarios de desktop poderiamusar umsistema Linux, mesmo semter 
de executar comandos. 

Durante anos, o Red Hat Linux foi a distribuięao Linux preferida para profissionais e entusiastas do 
Linux. A Red Hat, Inc. cedia o código-fonte, bem como o código compilado, prontos para executar 
yersóes do Red Hat Linux (conhecidos como os binarios). Mas, conforme as necessidades da sua 
comunidade de usuarios Linux e os grandes clientes corporativos comeęayam a se distanciar, a Red Hat 
abandonou o Red Hat Linux e comeęou a desenvolver dois sistemas operacionais em vez disso: O Red 
Hat Enterprise Linux e o Fedora. 



Usando o Red Hat Enterprise Linux 

Emmaręo de 2012, a Red Hat, Inc. tornou-se a primeira empresa de software de código-fonte aberto a 
gerar mais de umbilhao de dólares emreceitas anuais. Ela alcanęou seu objetivo construindo um 
conjunto de produtos emtorno do Red Hat Enterprise Linux (RHEL) que atendemas necessidades dos 
ambientes de computaęao corporativos mais exigentes. 

Enąuanto outras distribuięóes Linux focaram sistemas desktop ou computaęao em peąuenas empresas, o 
RHEL trabalhou sobre os recursos necessarios para lidar com aplicaędes de missao critica para 
empresas e governo. Ele construiu sistemas que poderiam acelerar transaędes para as maiores bolsas de 
valores do mundo e serem implantados como clusters e hosts virtuais. 

Emvez de apenas vender o RHEL, a Red Hat oferece um ecossistema de beneficios aos clientes Linux. 
Para usar o RHEL, os clientes compram assinaturas que eles podem usar para implantar qualquer versao 
do RHELque desejam. Se os clientes retiraremde servięo umsistema RHEL, eles podem usar a 
assinatura para implantar outro sistema. 

Diferentes niveis de suporte estao disponlveis para o RHEL, dependendo das necessidades dos clientes. 
Os clientes podem ter a certeza de que, juntamente como suporte, eles podem obter hardware e software 
de terceiros que sejamcertificados para funcionar como RHEL. Eles podem obter consultores e 
engenheiros da Red Hat para ajuda-los a montar os ambientes de computaęao ideais e tambem podem 
obter treinamento e exames de certificaęao para seus funcionarios (veja a discussao da certificaęao 
RHCE mais adiante neste capltulo). 

A Red Hat tambem acrescentou outros produtos, como extens5es naturais ao Red Hat Enterprise Linux. O 
JBoss e um produto de middleware 2 para implantar aplicativos baseados em Java na internet ou nas 
intranets das empresas. A Red Hat Enterprise Yirtualization e composta de hosts de virtualizaęao, 
gerentes e computadores convidados que permitem instalar, executar, gerenciar, migrar e desativar 
grandes ambientes de computaęao virtual. 

Ha aqueles que tentaram clonar o RHEL, usando seu código-fonte livremente dispomvel, reconstruindo-o 
e reempacotando-o sob urna nova marca. O CentOS e urna distribuięao patrocinada pela Comunidade 
Linux, que e construida a partir do código-fonte do RHEL. Da mesma forma, o Oracle Linux e construido 
a partir do código-fonte do RHEL, mas atualmente oferece umkernel incompativel. Apesar disso, o 
RHEL ainda e de longe o principal sistema operacional de computador no mundo corporativo. 

Eu escolhi usar o Red Hat Enterprise Linux para muitos dos exemplos deste livro, porque, se voce quer 
urna carreira trabalhando em sistemas Linux, ha urna demanda enorme por aqueles que podem administrar 
sistemas RHEL. Se voce esta comeęando com Linux, porem, o Fedora pode proporcionar um excelente 
ponto de entrada gratuito para as mesmas habilidades que voce precisa ter para usar e administrar 
sistemas RHEL. 

Usando o Fedora 

Enquanto o RHEL e a distribuięao Linux comercial, estavel e suportada, o Fedora e a distribuięao Linux 
gratuita e moderna que e patrocinada pela Red Hat, Inc. O Fedora e o sistema Linux que a Red Hat usa 
para envolver a comunidade de desenvolvimento do Linux e incentivar aqueles que querem um Linux 
gratuito para uso pessoal. 

O Fedora inclui mais de 16.000 pacotes de software, muitos dos quais se mantem atualizados com a mais 



recente tecnologia de código-fonte aberto dispomvel. Como umusuario, voce pode experimentar as mais 
recentes interfaces desktop, de servidor e administrativas de Linux no Fedora gratuitamente. Como um 
desenvolvedor de software, voce pode criar e testar seus aplicativos usando a ultima versao do kernel 
Linux e ferramentas de desenvolvimento. 

Como o foco do Fedora e a mais recente tecnologia, ele se concentra menos na estabilidade. Portanto, e 
de se esperar que voce tenha algum trabalho extra para que tudo funcione e que nem todo o software 
esteja totalmente “pronto”. 

Mas eu recomendo que voce use o Fedora para a maioria dos exemplos deste livro, pelas seguintes 
razóes: 

■ O Fedora e usado como um campo de provas para o Red Hat Enterprise Linux. A Red Hat testa 

muitas novas aplicaęóes no Fedora antes de implanta-las no RHEL. Usando o Fedora, voce vai 
aprender as habilidades de que precisa para trabalhar com recursos a medida que eles vao sendo 
desenvolvidos para o Red Hat Enterprise Linux. 

■ Para aprendizagem, o Fedora e mais conveniente do que o RHEL, mas ainda inclui muitas das mais 

avanęadas ferramentas prontas para uso corporativo que existem no RHEL. 

■ O Fedora e free, nao só no sentido de “livre”, mas tambem no sentido de “gratuito”. 

O Fedora e extremamente popular entre aqueles que desenvolvem software de código-fonte aberto. Mas 
nos ultimos anos, outra distribuięao Linux tern atraido a atenęao de muitas pessoas que estao comeęando 
com o Linux: o Ubuntu. 

Escolhendo o Ubuntu ou outra distribuięao Debian 

Como o Red Hat Linux, a distribuięao Debian GNU/Linux foi urna distribuięao Linux inicial que se 
destacou no empacotamento e gerenciamento de software. O Debian usa o fermato de pacote deb e 
ferramentas para gerenciar todos os pacotes de software emseus sistemas. O Debian tambem tern urna 
reputaęao de estabilidade. 

Muitas distribuięóes Linux se originam do Debian, de acordo com a DistroWatch 

(http : //distrowatch . com), mais de 120. Distribuięóes populares baseadas no Debian incluemo 
Linspire, o Xandros, o Knoppix, o MEPIS, o Damn Smali Linux e muitas outras. Mas o derivado Debian 
que alcanęou o maior sucesso e o Ubuntu (http : / /www. ubuntu . com). 

Ao se basear no estavel desenvolvimento e empacotamento de software do Debian, a distribuięao Ubuntu 
Linux foi capaz de avanęar e adicionar os recursos que faltavamao Debian. Embusca de trazer novos 
usuarios para o Linux, o projeto Ubuntu adicionou um instalador grafico simples e ferramentas graficas 
faceis de usar. Ele tambem focaliza sistemas desktop com funcionalidade completa e ainda oferece 
pacotes populares de servidor. 

O Ubuntu tambem foi inovador na criaęao de novas formas de executar o Linux. Usando live CDs 
oferecidos pelo Ubuntu, voce pode te-lo instalado e funcionando empoucos minutos. Muitas vezes, 
nesses CDs tambem vinham aplicaęóes de código-fonte aberto, como navegadores web e processadores 
de texto, que realmente funcionavam no Windows. Isso facilitou a transięao do Windows para o Linux 
para algumas pessoas. 



Se voce estiver usando o Ubuntu, semproblemas. Amaioria dos temas abordados neste livro vai 
funcionar tao bem no Ubuntu como no Fedora ou no RHEL. Porem, quando entramos em algumas das 
seęóes de servidor no livro, voce pode encontrar algum conteudo do mundo corporativo, o qual pode nao 
corresponder exatamente com o que voce encontra no Fedora ou no RHEL. 


Encontrando oportunidades 
profissionais com Linux hoje 

Se voce quer desenvolver urna ideia para um proj eto de pesquisa relacionado a computadores ou urna 
empresa de tecnologia, por onde comeęar? Com urna ideia. Depois disso, voce olha para as ferramentas 
que precisa explorar e, por firn, cria a sua visao. Entao, procura outros para ajuda-lo durante o processo 
de criaęao. 

Hoje, os custos de abrir urna empresa como a Google ou Facebook incluem apenas um computador, urna 
conexao com a internet e cafe suficiente para mante-lo acordado escrevendo código a noite inteira. Se 
voce tern sua ideia de como mudar o mundo, o Linux e milhares de pacotes de software estao disponiveis 
para ajuda-lo a construir seus sonhos. O mundo do código-fonte aberto tambem e acompanhado pelas 
comunidades de desenvolvedores, administradores e usuarios que estao disponiveis para ajuda-lo. 

Se voce quiser se envolver com um proj eto de código-fonte aberto existente, os proj etos estao sempre 
procurando pessoas para escrever código, testar software ou escrever documentaęao. Nesses proj etos, 
voce vai encontrar pessoas que usam o software ou trabalham nele e geralmente estao dispostos a 
partilhar sua experiencia para ajuda-lo. 

Mas queira voce desenvolver o próximo grandę proj eto de software de código-fonte aberto, ou 
simplesmente adquirir as habilidades necessarias para competir com os milhares de trabalhos bem- 
remunerados de administrador ou de desenvolvimento emLinux, ele vai ajudar voce a saber como 
instalar, proteger e manter sistemas Linux. 

Entao, quais sao as perspectivas de carreira em Linux? A pesquisa intitulada “Linux Adoption Trends 
2012: A Survey of Enterprise End Users” (Tendencias de Adoęao de Linux 2012: Um Levantamento dos 
Usuarios Finais Corporativos), da Linux Foundation 

(http://www.linuxfoundation.org/publications/linux-foundation/linux- 
adoption-trends-end-user-report-2 012), entrevistoumais de 400 trabalhadores de 
organizaęóes com mais de 500 funcionarios e mais de 500 milhóes de dólares emvendas anuais. Eis o 
que a Linux Foundation descobriu: 

■ Aumento do uso Linux — Mais de 80% das empresas esperam que seu uso do Linux aumente ao 

longo dos próximos cinco anos. 

■ Mais Linux para big data — Mais de 70% das empresas esperam adicionar mais sistemas Linux 

para lidar com big data (em comparaęao com cerca de 36% mais sistemas Windows e 29% mais 
sistemas UNIX). Big data refere-se a enormes quantidades de informaęóes complexas e de dificil 
manejo que precisamser armazenadas e gerenciadas. 

■ Precisa-se de mais especialistas em Linux! — Alem de algumas preocupaęóes com a 




interoperabilidade com plataformas existentes (37%), a próxima maior preocupaęao dos 
entrevistados como Linuxera seremcapazes de encontrar talento para suportar esses sistemas. 

A mensagem principal a considerar a partir dessa pesąuisa e que o Linux continua a crescer e criar 
demandas de especialistas nele. As empresas que comeęarama usar Linux continuarama avanęar com 
ele. Aqueles que utilizam o Linux continuam a expandir seu uso e acham que a reduęao de custos, 
seguranęa e flexibilidade que ele oferece continuam a fazer dele umbominvestimento . 

Entendendo como as empresas fazem dinheiro com Linux 

Entusiastas do código-fonte aberto acreditam que melhores softwares podem resultar de um modelo 
aberto de desenvolvimento do que de modelos proprietarios. Portanto, em teoria, qualquer empresa 
criando um software para uso próprio pode economizar dinheiro adicionando suas contribuięóes as dos 
outros a firn de obter um produto finał muito melhor para ela mesma. 

As empresas que querem ganhar dinheiro com a venda de software precisam ser mais criativas do que 
eram antigamente. Embora voce possa vender o software que cria incluindo um software GPL, o código- 
fonte dele deve ser passado para frente. Naturalmente, outros podem entao recompilar esse produto, 
basicamente utilizando e ate mesmo revendendo-o sem custos. Eis algumas maneiras como as empresas 
estao lidando comessa questao: 

■ Assinaturas de software — A Red Hat, Inc. vende seus produtos Red Hat Enterprise Linux com 

base em urna assinatura. Por urna determinada quantia de dinheiro por ano, voce obtem o código 
binario para rodar o Linux (assimvoce nao temque compilar por conta própria), suporte 
garantido, ferramentas para monitoramento de hardware e software no seu computador, acesso a 
base de conhecimento da empresa e outros recursos. 

Apesar de o projeto da Red Hat Fedora incluir grandę parte do mesmo software e tambemestar 
disponivel em forma binaria, nao ha garantias associadas com o software ou futuras atualizaęóes 
dele. Umpequeno escritório ou umusuario pessoal pode correr o risco de usar o Fedora (que e 
em si mesmo um sistema operacional excelente), mas urna grandę empresa que esta executando 
aplicaęóes de missao critica provavelmente acabara investindo alguns dólares no RHEL. 

■ Treinamento e certificaęao — Com o uso do sistema Linux crescendo em uso governamental e em 

grandes negócios, sao necessarios profissionais para suportar esses sistemas. A Red Hat oferece 
cursos de formaęao e exames de certificaęao para aj udar os administradores de sistema a se 
tornarem proficientes usando sistemas Red Hat Enterprise Linux. Em particular, as certificaęóes 
Red Hat Certified Engineer (RHCE) e Red Hat Certified System Administrator (RHCSA) 
tornaram-se populares (http : / /www. redhat . com/certif ication). Mais sobre 
RHCE/RHCSA certificaęóes mais tarde neste capitulo. 

Outros programas de certificaęao sao oferecidos pelo Linux Professional Institute 

(http : / /www. lpi . org), CompTIA (http : / /www. comptia . org) e Novell 

(http : / /www. novell. com). LPI e CompTIA sao associaęóes profissionais da industria de 

computadores. Novell centra seus cursos de treinamento e certificaęao em seus produtos SUSE 

Linux. 



■ Recompensas — Recompensas de software sao urna maneira fascinante de as empresas de 

software de código-fonte aberto fazerem dinheiro. Digamos que voce esta usando o pacote de 
software XYZ e precisa de umnovo recurso imediatamente. Ao pagar urna recompensa de 
software para o projeto em si, ou para outros desenvolvedores, voce pode ter as melhorias que 
voce precisa deslocadas para o inicio da fila. O software que voce paga permanecera coberto 
pela sua licenęa de código-fonte aberto, mas voce tera os recursos de que precisa provavelmente 
por menos do que urna fraęao do custo da construęao do projeto a partir zero. 

■ Doaęóes — Muitos projetos de código-fonte aberto aceitam doaęóes de pessoas fisicas ou 

empresas de desenvolvimento de código-fonte aberto que usamcódigo a partir de seus projetos. 
Surpreendentemente, muitos projetos de código-fonte aberto suportamumou dois 
desenvolvedores e funcionam exclusivamente combase em doaęóes. 

■ Estojos, canecas e camisetas — Muitos projetos de código-fonte aberto temlojas Online onde voce 

pode comprar CDs (algumas pessoas ainda gostam de CDs fisicos e cópias impressas de 
documentos) e urna variedade de canecas, camisetas, mouse pads e outros souvenires. Se voce 
realmente arna umprojeto, compre urna camiseta! 

Essa nao e de forma alguma urna lista exaustiva, porque formas mais criativas estao sendo inventadas 
todos os dias para apoiar aqueles que criam software de código-fonte aberto. Lembre-se de que muitas 
pessoas se tornaram colaboradoras e mantenedoras de software de código-fonte aberto porque 
precisavam ou queriam o software. As contribuięóes que elas fazem de graęa valem a pena pelo retorno 
que elas obtemde outras pessoas que fazem o mesmo. 

Tornando-se um profissional certificado em Red Hat 

Embora este livro nao seja focado em se tornar certificado em Linux, ele aborda atividades que voce 
precisa para ser capaz de dominar a forma como passar em exames populares de certificaęao do Linux. 
Em particular, a maior parte do que e coberto nos exames Red Hat Certified Engineer (RHCE) e Red Hat 
Certified System Administrator (RHCSA) e descrita neste livro. 

Se voce estiver procurando por um trabalho como um profissional de TI em Linux, muitas vezes a 
certificaęao RHCSA ou RHCE e listada como urna exigencia ou, pelo menos, urna preferencia dos 
empregadores. O exame RHCSA (EX200) fornece a certificaęao basica, abordando temas como 
configuraęao de discos e sistemas de arquivos, adięao de usuarios, criaęao de um site simples para web 
e um servidor FTP e adięao de espaęo de troca. O exame de RHCE (EX300) testa para configuraęóes de 
servidor mais avanęadas, bem como um conhecimento avanęado de recursos de seguranęa, como SELinux 
e firewalls (iptables). 

Aqueles de nós que temensinado cursos RHCE/RHCSAe aplicado exames (como eu fiz por tres anos) 
nao estao autorizados a dizer exatamente o que esta no exame. Mas a Red Hat da urna visao geral de 
como os exames funcionam, bem como urna lista de possiveis tópicos que serao abordados. \bce pode 
encontrar os objetivos do exame nos seguintes sites: 

■ RHCSA 

http://www.redhat.com/training/courses/ex200/examobj ective 



■ RHCE — http ://www.redhat.com/training/courses/ex300/examobjective 


Como os objetivos do exame declaram, os RHCSAe RHCE sao baseados em desempenho, o que 
significa que voce recebe tarefas e deve executa-las em um Red Hat Enterprise Linux real, como faria no 
trabalho. \bce e classificado de acordo com seu desempenho nos resultados dessas tarefas. 

Se voce pretende fazer os exames, verifique constantemente as paginas de objetivos deles, pois eles 
mudamde tempos emtempos. Tenha emmente tambemque o RHCSAe urna certificaęao independente; 
entretanto, voce deve passar nos exames RHCSA e RHCE para obter urna certificaęao RHCE. Muitas 
vezes, os dois exames sao aplicados no mesmo dia. 

\bce pode se inscrever em cursos de treinamento e exames RHCSA e RHCE em 
http : //training. redhat. com. Cursos de treinamento e exames sao dados emgrandes cidades 
em todos os Estados Unidos e ao redor do mundo. As habilidades de que voce precisa para completar as 
provas sao descritas nas seęóes a seguir. 

Tópicosdo RHCSA 

Como observado anteriormente, os tópicos do exame RHCSA cobrem habilidades basicas de 
administraęao do sistema. Esses sao os temas atuais listados no site de objetivos do exame RHCSA 
(novamente, verifique constantemente o site de objetivos do exame emquestao para ficar atualizado com 
eventuais alteraęóes): 

■ Entender as ferramentas essenciais — Espera-se que voce tenha um conhecimento pratico do shell 

de comando (bash), incluindo como usar a sintaxe de comando adequada e fazer redirecionamento 
de entrada/saida (< > »). \bce precisa saber como fazer o login em sistemas remotos e locais. 
Espere ter de criar, mover, copiar, linkar, excluir e alterar permissóes e posse de arquivos. Da 
mesma forma, voce deve saber como procurar informaęóes nas paginas do manuał (“paginas 
man”) e em / usr/share/doc. 

■ Operar sistemas em execuęao — Nessa categoria, voce deve entender o processo de inicializaęao 

do Linux, entrar no modo monousuario, desligar, reiniciar e mudar niveis de execuęao. \bce deve 
ser capaz de iniciar e parar as maquinas virtuais e servięos de rede, bem como encontrar e 
interpretar arquivos de log. 

■ Configurar o armazenamento local — A criaęao de partięóes de disco inclui a criaęao de volumes 

fisicos e a configuraęao deles a firn de utiliza-los para gerenciamento de volume lógico ( logical 
volume management, LVM) ou criptografia (LUKS). \bce tambemdeve ser capaz de criar essas 
partiędes como sistemas de arquivos ou espaęo de troca que podem ser montados ou ativados no 
momento da inicializaęao. 

■ Criar e configurar sistemas de arquivos — Criar e montar automaticamente diferentes tipos de 

sistemas de arquivos, incluindo sistemas de arquivos regulares do Linux (ext2, ext3 ou ext4), de 
arquivos criptografados com LUKS e de arquivos de rede (NFS e CIFS). Criar diretórios de 
colaboraęao usando o recurso de bit de ID de grupo e listas de controle de acesso ( access control 
lists, ACLs). Voce tambemdeve ser capaz de usar o LVM para aumentar o tamanho de umvolume 
lógico. 

■ Implementar, configurar e manter sistemas — Isso cobre urna variedade de tópicos, incluindo 



configuraęao de redes, criaęao de tarefas cron, a definięao do mvel de execuęao padrao e a 
instalaęao de sistemas RHEL. \bce tambem deve ser capaz de configurar um servidor HTTP e um 
servidor FTP simples. Para pacotes de software, voce deve ser capaz de instalar os pacotes da 
Red Hat NetWork, um repositório remoto, ou o sistema de arquivos local. Por firn, voce deve ser 
capaz de instalar corretamente um novo kernel e escolher esse ou algum outro kernel para iniciar 
quando o sistema for iniciado. 

■ Gerenciar usuarios e grupos — \foce deve saber adicionar, excluir e alterar contas de usuario e de 

grupo. Outro tópico que voce deve saber e o envelhecimento de senha, usando o comando 
chage. \bce tambem deve saber configurar um sistema de autenticaęao mediante conexao com 
um servidor de diretório LDAP. 

■ Gerenciar a seguranęa — \bce deve ter um entendimento basico de como configurar um firewall 

(system-config-firewall ou iptables) e como usar o SELinux. 

A maioria desses tópicos e abordada neste livro. Consulte a documentaęao da Red Hat 
(http : / /docs . redhat. com) sob o titulo Red Hat Enterprise Linux para descriędes de 
caracteristicas nao encontradas neste livro. Em particular, o Guia de Implantaęao contem descriędes de 
muitos dos tópicos relacionados com o RHCSA. 

Tópicos RHCE 

Os tópicos do exame RHCE cobrem configuraęóes de servidor mais avanęadas, juntamente com urna 
variedade de recursos para garantir a seguranęa desses servidores. Mais urna vez, verifique o site de 
objetivos do exame RHCE para informaędes mais atualizadas sobre os tópicos que voce deve estudar 
para o exame. 

O requisito de configuraęao e gerenciamento do sistema para o exame RHCE cobre urna variedade de 
tópicos, incluindo os seguintes: 

■ Roteamento de trafego IP — Definir rotas estaticas para endereęos de rede especificos. 

■ Firewalls — Bloquear ou permitir o trafego para as portas selecionadas em seu sistema que 

oferecem servięos como web, FTP e NFS, assim como bloquear ou permitir o acesso a servięos 
combase no endereęo IP do originador. 

■ Ajuste do Kernel — Configurar parametros ajustaveis do kernel usando o arquivo 

/ etc/sysctl. conf e o comando sysctl 

■ Configure iSCSI — Configurar o sistema como um iniciador de iSCSI que monta um destino iSCSI 

no momento da inicializaęao. 

■ Relatórios do sistema — Usar recursos como sar para informar sobre o uso de memória do 

sistema, acesso a disco, trafego de rede e uso do processador. 

■ Script de shell — Criar um script de shell simples para receber entrada e produzir saida de varias 

maneiras. 

■ Log remoto — Configurar o recurso rsyslogd para coletar as mensagens de log e distribui-las 

para um servidor remoto de registro em log. Alem disso, configurar um servidor remoto de 



registro emlog para coletar mensagens de log de clientes. 

■ SELinux — Com Security Enhanced Linux em modo imposięao, certificar-se de que todas as 

configuraęóes do servidor descritas na próxima seęao estao devidamente protegidas com o 
SELinux. 

Para cada um dos servięos de rede na lista que se segue, certifique-se de que voce pode seguir os passos 
para instalar os pacotes exigidos pelo seryięo, configurar o SELinux para permitir o acesso a ele, defini- 
lo para iniciar no momento da inicializaęao, garantir o servięo por host ou por usuario (usando iptables, 
TCP Wrappers ou recursos fornecidos pelo próprio servięo) e configura-lo para a operaęao basica. Estes 
sao os servięos: 

■ Servidor web — Configure um servidor Apache (HTTP/HTTPS). \foce deve ser capaz de criar 

urna maquina yirtual, implantar um script CGI, usar diretórios privados e permitir que um 
determinado grupo Linux gerencie o conteudo. 

■ Servidor DNS — Configure um servidor DNS (pacote bind) para agir como um servidor de nomes 

somente cache que pode encaminhar consultas DNS comoutro servidor DNS. Nao ha necessidade 
de configurar zonas de mestre ou escravo. 

■ Servidor FTP — Configure um servidor FTP para fornecer downloads anonimos. 

■ Seryidor NFS — Configure um seryidor NFS para compartilhar diretórios especificos com 

sistemas especificos de clientes a firn de que eles possam ser usados para colaboraęao em grupo. 

■ Seryidor de compartilhamento de arquivos Windows — Configure o Finux (Samba) para fornecer 

compartilhamentos SMB a maquinas e usuarios especificos. Configure os compartilhamentos para 
a colaboraęao em grupo. 

■ Seryidor de e-mail — Configure o postfix ou sendmail para aceitar e-mails recebidos de fora do 

host local. Transmita correio para umhost inteligente. 

■ Seryidor Secure Shell — Configure o seryięo SSH (sshd) para permitir acesso remoto ao seu 

sistema local, bemcomo autenticaęao baseada emchave. Ou, de outro modo, configure o arquivo 
sshd. conf conforme necessario. 

■ Seryidor NTP — Configure um seryidor NetWork Time Protocol (ntpd) para sincronizar o tempo 

com outros pares NTP. 

Embora existam outras tarefas no exame RHCE, como acabamos de obseryar, tenha em mente que a 
maioria das tarefas exige que voce configure seryidores e, entao, garanta a seguranęa desses seryidores 
usando qualquer tecnica que seja necessaria. Essas podemincluir regras de firewall (iptables), o 
SELinux, TCP Wrappers, ou quaisquer recursos integrados em arquivos de configuraęao para o seryięo 
especifico. 


Resumo 


O Linux e um sistema operacional que e construido por urna comunidade de desenvolvedores de software 




ao redor do mundo e liderada por seu criador, Linus Torvalds. Ele e originalmente derivado do sistema 
operacional UNIX, mas cresceu alemdo UNIX em popularidade e poder ao longo dos anos. 

A historia do sistema operacional Linux remonta ao inicio dos sistemas UNIX, que foram distribuidos 
gratuitamente para escolas e melhorados por iniciativas como a Berkeley Software Distribution (BSD). A 
Free Software Foundation ajudou a fazer muitos dos componentes necessarios para criar um sistema 
operacional do tipo UNIX totalmente livre. O kernel do Finux em si foi o ultimo grandę componente 
necessario para completar o trabalho. 

Amaioria dos projetos de software sao protegidos por umdos conjuntos de licenęas que estao sob o 
guarda-chuva da Open Source Initiative. Amais importante delas e a GNU Public Ficense (GPF). 

Normas, como a Finux Standard Base, e organizaęóes e empresas de classe mundial Finux (como a Red 
Hat, Inc.) tornam possivel que o Finux continue sendo um sistema operacional estavel e produtivo no 
futuro. 

Aprender os prinripios de como usar e administrar um sistema Finux ira lhe servir bastante em qualquer 
aspecto do trabalho comele. Os capitulos a seguir fornecemuma serie de exerdcios comos quais voce 
pode testar seu conhecimento. Portanto, pelo resto deste livro, voce aprendera melhor tendo um sistema 
Finux a sua frente, pois podera trabalhar com os exemplos em cada capitulo e completar os exerdcios 
com sucesso. 

O próximo capitulo descreve como comeęar com o Finux descrevendo como obter e utilizar um sistema 
desktop Finux. 


1 N.T.: Five CD e um CD que contemum sistema operacional (GNU/Finux, BSD ou outro) que nao 
precisa ser instalada no disco rigido do usuario, urna vez que o sistema operacional completo e 
executado diretamente a partir do CD e da memória RAM. (Fonte: 

http://pt.wikipedia.org/wiki/Live_CD) 

2 Middleware ou mediador, no campo da computaęao distribmda, e um programa de computador que faz a 
mediaęao entre o software e as demais aplicaęóes. (Fonte: 

http:/ 7pt.wikipedia.org/ wiki/Middleware) 




CAPITUU) 


Criando o desktop 
perfeito em Linux 


NESTE CAPITULO 

Entendendo o X Window System e os ambientes de desktop 

Executando o Linux a partir de um Live CD 

Navegando na area de trabalho do GNOMĘ 3 

Adicionando extensóes ao GNOMĘ 3 

Usando o Nautilus para gerenciararquivos no GNOMĘ 3 

Trabalhando com a area de trabalho do GNOMĘ 2 

Ativando efeitos 3D em GNOMĘ 2 

U sar o Linux como seu sistema desktop cotidiano esta se tornando cada vez mais facil. Como tudo 
emLinux, voce temescolhas. Existem ambientes de desktop comtodas as funcionalidades, como o 
GNOMĘ e o KDE, ou desktops “leves”, como o LXDE ou o Xfce. Ha ainda gerenciadores de 
janelas independentes mais simples. 

Depois de ter escolhido um desktop, voce vai descobrir que quase todo tipo importante de aplicativo 
desktop que voce tern em um sistema Windows ou Mac tera aplicaęóes equivalentes em Linux. Para 
aplicaędes que nao estao disponiveis em Linux, muitas vezes voce pode executar um aplicativo Windows 
no Linux usando software de compatibilidade para Windows. 

O objetivo deste capitulo e familiariza-lo com os conceitos relacionados com os sistemas de desktop 
Linux e depois dar-lhe dicas para trabalhar comeles. \bce ira: 

■ Entender os recursos e tecnologias de desktop que estao disponiveis no Linux 

■ Yisitar as principais caracteristicas do ambiente desktop GNOMĘ 

■ Aprender dicas e truques para obter o maximo de sua experiencia com o desktop GNOMĘ 

Para usar as descrięóes deste capitulo, recomendo que voce tenha um sistema Fedora rodando a sua 
frente. \bce pode obter o Fedora de muitas maneiras, incluindo: 



■ Rodando o Fedora a partir de umLive CD — Consulte o Apendice A para obter informaęóes 

sobre como baixar e gravar um Fedora Live CD para que possa inicia-lo sem precisar instalar em 
um disco rigido para usa-lo comeste capitulo. 

■ Instalando o Fedora permanentemente — Instale o Fedora em seu disco rigido e inicie a partir 

dai (como descrito no Capitulo 9, “Instalando o Linux”). 

Como a yersao atual do Fedora usa a interface GNOMĘ 3, a maioria dos procedimentos descritos aqui 
funcionara comoutras distribuięóes Linux que tenham GNOMĘ 3 disponivel. Se voce estiver usando o 
Red Hat Enterprise Linux (que, como desde o RHEL 6, usa o GNOMĘ 2), adicionei descrięóes do 
GNOMĘ 2 que voce tambem pode experimentar. 


ta 

luntu usa seu próprio desktop Unity como padrao, em vezdo GNOMĘ, mas voce pode adicionaro GNOMĘ e usa-lo 
9 o ambiente desktop para o Ubuntu 11.10 e versóes posteriores. Versóes mais antigas do Ubuntu usam o 
ME 2 por padrao. 

pode adicionar o GNOMĘ 3 a urna versao do Ubuntu, fazendo o seguinte a partir de seu sistema Ubuntu: abra o 
ltu Software Center, instale o GNOMĘ Shell, faęa logout, volte para a tela de login e selecione o GNOMĘ como sua 
ao de desktop e faęa login. Alem de algumas diferenęas no conjunto padrao de aplicativos disponiveis, as 
:rięóes do GNOMĘ 3 neste livro devem funcionar no Ubuntu exatamente como apresentadas. 


Entendendo a tecnologia de desktop do Linux _ 

Os modernos sistemas de desktop oferecemjanelas graficas, icones e menus que sao operados usando 
mouse e teclado. Se voce tern menos de 30 anos de idade, pode pensar que nao ha nada de especial nisso. 
Mas os primeiros sistemas Linuxnao tinhaminterfaces graficas disponiveis. Alemdisso, hoje, muitos 
servidores Linux adaptados para tarefas especiais (por exemplo, funcionando como um seryidor web ou 
um seryidor de arquivos) nao tern software de desktop instalado. 

Quase toda grandę distribuięao Linux que oferece interfaces desktop se baseia no X Window System 
(http : / /www. x . org). O X Window System fornece urna base sobre a qual diferentes tipos de 
ambientes de desktop ou gerenciadores de janelas simples podemser construidos. 

O X Window System (as yezes chamado simplesmente de X) foi criado antes que o Linux existisse e 
antecede ate o Microsoft Windows. Ele foi construido para ser um framework “leve”, urna base simples 
de desktop emrede. 

O X funciona em urna especie de modelo cliente/seryidor inyertido. O seryidor X roda no sistema local, 
fornecendo urna interface comtela, teclado e mouse. Clientes X (como processadores de texto, leitores 
de musica ou yisualizadores de imagem) podem ser carregados a partir do sistema local ou de qualquer 
sistema em sua rede ao qual o seryidor X de permissao para fazer isso. 

O X foi criado em um momento em que os terminais graficos (clientes “magros”) simplesmente 
gerenciayam o teclado, o mouse e o monitor. Aplicaęóes, armazenamento em disco e poder de 
processamento ocorriam, todos, emgrandes computadores centrais. Portanto, os aplicatiyos rodayamem 







maquinas maiores, mas eram exibidos e gerenciados atraves da rede no cliente magro. Mais tarde, os 
clientes magros foram substituidos por computadores pessoais. Amaioria dos aplicativos cliente rodava 
localmente, usando o poder de processamento local, espaęo em disco, memória e outros recursos de 
hardware, e ao mesmo tempo nao permitindo a execuęao de aplicativos que nao se iniciaram a partir do 
sistema local. 

O X em si oferece um fundo cinza basico e um simples cursor de mouse em forma de “X”. Nao ha menus, 
paineis ou leones emuma tela basica do X. Se voce tivesse que carregar um cliente X (como urna janela 
de terminal ou um processador de texto), ele apareceria na tela do X semborda emtorno dele para 
mover, minimizar ou fechar a janela. Esses recursos sao adicionados por um gerenciador de janelas. 

Um gerenciador de janelas adiciona a capacidade de gerenciar as janelas no desktop e costuma oferecer 
menus para carregar aplicativos e trabalhar como desktop. Um desktop completo inclui um gerenciador 
de janelas, mas tambem adiciona menus, paineis e, de maneira geral, urna interface de programaęao de 
aplicativo que e usada para criar aplicativos que rodambemjuntos. 

Assim, de que maneira o entendimento de como as interfaces desktop funcionamno Linuxpode ajuda-lo 
quando se trata de usar o Linux? Eis algumas: 

■ Como os ambientes de desktop Linux nao sao obrigados a rodar um sistema Linux, um sistema 

Linuxpode ter sido instalado semum desktop. Ele pode oferecer apenas urna interface de linha de 
comando baseada emtexto simples. \foce pode optar por adicionar um desktop mais tarde. 
Instalado o desktop, voce pode escolher se quer inicia-lo junto com seu computador ou inicia-lo 
conforme necessario. 

■ Para um sistema Linux muito simples, como um feito para rodar em computadores menos 

poderosos, voce pode escolher um gerenciador de janelas eficiente, mas menos rico em recursos, 
(como o twm ou o f luxbox) ou um ambiente desktop leve (como o LXDE ou o Xfce). 

■ Para computadores mais robustos, voce pode escolher ambientes de desktop mais poderosos 

(como o GNOMĘ e o KDE) que podem fazer coisas como prestar atenęao a eventos que podem 
acontecer (como a inseręao de urna unidade flash USB) e responder a esses eventos (como abrir 
urna janela para visualizar o conteudo do disco). 

■ \foce pode ter varios ambientes de desktop instalados e pode escolher qual carregar ao fazer login. 

Dessa forma, diferentes usuarios no mesmo computador podem usar diferentes ambientes de 
desktop. 

Muitos diferentes ambientes de desktop estao disponiveis para escolha emLinux. Eis alguns exemplos: 

■ GNOMĘ — O GNOMĘ e o ambiente de desktop padrao para o Fedora, o Red Hat Enterprise 

Linux e muitos outros. E considerado um desktop profissional, com mais foco na estabilidade do 
que emefeitos visuais. 

■ K Desktop Eiwironment — O KDE e provavelmente o segundo desktop mais popular para Linux. 

Ele tern mais penduricalhos que o GNOMĘ e oferece aplicativos mais integrados. O KDE 
tambem esta disponivel com o Fedora, RHEL, Ubuntu e muitos outros sistemas Linux. 

■ Xfce — O desktop Xfce foi umdos primeiros ambientes de desktop “leves”. E bom para usar em 

computadores antigos ou menos poderosos. Ele esta disponivel como RHEL, o Fedora, o Ubuntu 



e outras distribuięóes Linux. 


■ LXDE — O Lightweight XII Desktop Environment (LXDE) foi projetado para ser um desktop de 
rapido desempenho e economia de energia. Muitas vezes, o LXDE e usado em dispositivos menos 
caros, como netbooks e emmidia ao vivo (como umlive CD ou live pen drive). E o desktop 
padrao para a distribuięao do Live CD KNOPPIX. Embora o LXDE nao venha inclmdo no 
RHEL, voce pode experimenta-lo com o Fedora ou o Ubuntu. 

O GNOMĘ foi originalmente concebido para se parecer com o desktop MAC OS, enąuanto o KDE 
deveria emular o ambiente de desktop do Windows. Como e o desktop mais popular e umdos mais 
freąuentemente usados em sistemas Linux comerciais, a maioria dos procedimentos e exercicios de 
desktop deste livro usa o desktop GNOMĘ. Usar o GNOMĘ, porem, ainda lhe da a opęao de varias 
distribuięóes Linux diferentes. 

Comeęando com o GNOMĘ Fedora Desktop Live CD 

Um live CD e a maneira mais rapida de ter um sistema Linux instalado e funcionando para voce poder 
comeęar a experimentar. Com um live CD de Linux, voce pode fazer o Linux assumir a operaęao do seu 
computador temporariamente, semprejudicar o conteudo de seu disco rigido. 

Se voce tiver o Windows instalado, o Linux ira simplesmente ignora-lo e usar a si mesmo para controlar 
seu computador. Quando terminar de usar o live CD Linux, voce pode reiniciar o computador, retirar o 
CD e voltar a rodar qualquer que seja o sistema operacional instalado no disco rigido. 

Para experimentar um desktop GNOMĘ, juntamente com as descrięóes desta seęao, sugiro que voce 
obtenha um Fedora Live CD (conforme descrito no Apendice A). Como um live CD faz todo seu trabalho 
a partir do CD e na memória, ele vai rodar mais lento do que um sistema Linux instalado. Alem disso, 
embora voce possa alterar os arquivos, adicionar software e de outras maneiras configurar seu sistema, 
por padrao, o trabalho que voce faz desaparece quando voce reinicia, a menos que voce salve os dados 
em seu disco rigido ou midia de armazenamento externa. 

O fato de que as alteraęóes feitas no ambiente do live CD desapareęam na reinicializaęao e muito bom 
para experimentar o Linux, mas nao e tao bom se voce quer um desktop ou sistema de servidor para uso 
continuo. Por essa razao, recomendo que se voce tiver um computador extra, instale o Linux 
permanentemente no disco rigido dele para usar com o resto deste livro (como descrito no Capitulo 9). 

Urna vez que voce temumlive CD na mao, faęa o seguinte para comeęar: 

x - Arrume um computador. Se voce tern um PC padrao (de 32 ou 64 bits) com urna unidade 
de CD/DVD e pelo menos 1 GB de memória (RAM) e 400 MHz, voce esta pronto para 
comeęar. 

2 - Inicie o live CD. Insira o live CD na unidade de CD do computador e reinicie o computador 
(desligue-o e ligue-o novamente). Dependendo da ordem de boot definida em seu 
computador, o live CD pode iniciar diretamente pela BIOS (o código que controla o 
computador antes de o sistema operacional ser iniciado). 




ta 

jm vez de iniciar o live CD, iniciar o sistema operacional instalado, voce precisara dar um passo adicional para 
iro live CD. Reinicie novamente e quando voce vira tela da BIOS, procure algumas palavras que dizem algo como 
)t Order”. As instruęóes na tela podem dizer para pressionar a tecla de funęao F12 ou FI. Pressione a tecla 
iatamente a partir da tela da BIOS. Entao, voce vera uma tela que exibe as opęóes disponiveis. Realce uma 
ida para CD/DVD e pressione Enter para iniciar o live CD. Se voce nao vir o disco af, voce pode precisar ir para a 
guraęao da BIOS e ativara unidade de CD/DVD la. 


3 - Inicie o Fedora. Se o CD for capaz de inicializar, voce vera uma tela de inicializaęao. No 
Fedora, com Start Fedora destacado, pressione Enter para iniciar o live CD. 

4 - Comece usando o desktop. Para o Fedora, o live CD inicia diretamente emum desktop 
GNOMĘ 3 por padrao. Em alguns casos, se o computador nao atender as especificaęóes 
minimas, o Fedora carrega o GNOMĘ 2 no lugar do 3. 

\bce pode agora avanęar para a próxima seęao, “Usando o Desktop GNOMĘ 3” (que inclui informaęóes 
sobre o uso do GNOMĘ 3 no Fedora e outros sistemas operacionais). A seęao seguinte dessa cobrira o 
desktop GNOMĘ 2. 


Usando o desktop GNOMĘ 3 _ 

O desktop GNOMĘ 3 oferece uma mudanęa radical emrelaęao a seus homólogos GNOMĘ 2.x. Enąuanto 
o GNOMĘ 2.x e pratico, o GNOMĘ 3 e elegante. Como GNOMĘ 3, um desktop Linux agora se parece 
mais como as interfaces graficas em dispositivos móveis, com menos foco em multiplos botóes de mouse 
e combinaęóes de teclas e mais emmovimentos do mouse e operaęóes de umcliąue. 

Em vez da aparencia estruturada e rigida, o desktop GNOMĘ 3 parece expandir-se a medida que voce 
exige mais dele. Quando umnovo aplicativo e executado, seuicone e adicionado ao Dash. Conforme 
voce usa o espaęo de trabalho seguinte, umnovo se abre, pronto para que sejamcolocados mais 
aplicativos. 

Depois que o computador inicia 

No caso de um live CD, o sistema vai direto para o desktop e voce ganha o nome de usuario Live System 
User. No caso de um sistema ja instalado, voce vera a tela de login, com contas de usuario no sistema 
pronto para selecionar e digitar uma senha. A Figura 2.1 e umexemplo da tela de login do Fedora. 







RA 2.1 


no desktop GNOMĘ a partir do Fedora. 


Ha muito pouco no GNOMĘ 3 ąuando voce comeęa. Abarra superior tema palavra “Activities” a 
esquerda, umrelógio no meio e alguns icones a direita para coisas como ajustar o volume de audio, 
verificar sua conexao de rede e yisualizar o nome do usuario atual. 

Navegando com o mouse 

Para comeęar, tente navegar pelo desktop GNOMĘ 3 como mouse: 

L Alterne entre atividades e janelas. Mova o cursor do mouse para o canto superior esąuerdo 
da tela, ao lado do botao Activities. Cada vez que voce muda para la, sua tela muda entre 
mostrar as janelas que voce esta usando ativamente e umconjunto de atividades 
disponiveis. (Isso terno mesmo efeito de pressionar o botao Windows.) 

2 - Abra janelas a partir da barra de aplicativos. Clique para abrir alguns aplicativos a partir 
do Dash a esquerda (Firefox, File Manager, Shotwell ou outros). Mova o mouse para o 
canto superior esquerdo de novo e alterne entre exibir todas as janelas minimizadas (tela 
Overview) e mostra-las sobrepostas (emtamanho completo). A Figura 2.2 mostra um 
exemplo do modo de exibięao de janelas em miniatura. 

3 - Abra os aplicativos a partir da lista Applications. Na tela Overview, selecione o botao de 
Application no topo da pagina. A yisualizaęao muda para um conjunto de icones que 
representam os aplicatiyos instalados em seu sistema, como mostrado na Figura 2.3. 




RA 2.2 _ 

ando todas as janelas minimizadas no desktop. 
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ando a lista de aplicativos disponiveis. 


4 - Ver aplicativos adicionais. Apartir da tela Applications, ha varias maneiras de mudar o 
ponto de vista de seus aplicativos, bemcomo diferentes formas de carrega-los: 

■ Rolagem— Para ver os icones que representam os aplicativos que nao estao na tela, use o 

mouse para agarrar e mover a barra de rolagem a direita. Se tiver um mouse de roda, 
voce pode usa-lo para rolar os Icones. 

■ Grupos de aplicativos — Selecione um grupo de aplicativos a direita (Accessories, 

Games, Graphics etc.) para ver os aplicativos que estao somente nesse grupo. 

■ Carregando um aplicativo — Para iniciar o aplicativo desejado, clique no icone para 

abrir o aplicativo no espaęo de trabalho atual. Se o mouse tiver um botao do meio, voce 
pode clicar com esse botao em um aplicativo para abri-lo em um novo espaęo de 
trabalho. Clique com o botao direito do mouse para abrir um menu contendo instancias 
abertas desse aplicativo, voce pode selecionar urna opęao para abrir urna seleęao New 
Window e urna opęao para adicionar ou remover o aplicativo de Favorites (para o icone 
do aplicativo aparecer no Dash). A Figura 2.4 mostra umexemplo do menu. 
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e com o botao do meio do mouse para exibir o menu de seleęao de um aplicativo. 


5 - Abra outros aplicativos. Inicie os aplicativos adicionais. Notę que quando voce abrir um 
novo aplicativo, um icone que o representa aparece na barra Dash a esquerda. Eis algumas 
outras formas de iniciar aplicativos: 

■ Icone de aplicativo — Clique em qualquer icone de aplicativo para abri-lo. 

■ Soltar icones Dash no espaęo de trabalho — Do ponto de vista do Windows, voce pode 

arrastar qualquer icone de aplicativo a partir do Dash, segurando a tecla Ctrl e arrastando 
o icone para qualquer um dos espaęos de trabalho em miniatura a direita. 

6 - Use multiplos espaęos de trabalho. Mova o mouse para o canto superior esquerdo de novo 
para mostrar urna visao de todas as janelas minimizadas. Observe todos os aplicativos a 
direita comprimidos em urna pequena representaęao de um espaęo de trabalho enquanto um 
espaęo de trabalho adicional esta vazio. Arraste e solte duas das janelas para o espaęo do 
desktop vazio. A Figura 2.5 mostra a aparencia dos espaęos de trabalho em miniatura. 
Observe que um espaęo de trabalho adicional vazio e criado cada vez que o ultimo vazio e 
usado. \bce pode arrastar e soltar as janelas em miniatura entre qualquer espaęo de trabalho 
e selecionar o espaęo de trabalho para visualiza-lo. 
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lida que novos desktops sao usados, os adicionais aparecem a direita. 


7 - Use o menu de janela. Mova o mouse para o canto superior esąuerdo da tela a fim de 

retornar ao espaęo de trabalho ativo (vista da janela grandę). Clique como botao direito do 
mouse na barra de tltulo de urna janela para ver o menu dela. Tente essas aęóes desse menu: 

■ Minimize — Tira temporariamente a janela de vista. 

■ Maximize — Expande a janela para o tamanho maximo. 

■ Move — Muda a janela para o modo de movimentaęao. Mover o mouse move a janela. 

Clique para fixar a janela em um ponto. 

■ Resize — Altera a janela para o modo de redimensionamento. Mover o mouse 

redimensiona a janela. Clique para manter o tamanho. 

■ Opęoes dos espaęos de trabalho — Varias opęóes permitem que voce use os espaęos de 

trabalho de diferentes maneiras. Escolha fazer a janela ficar sempre por cima de outras 
janelas, visivel emcada espaęo de trabalho ou apenas no espaęo de trabalho atual. Ou 
mova a janela para outro espaęo de trabalho, o de cima ou o de baixo. 

Se voce nao se sentir confortavel navegando pelo GNOMĘ 3 com o mouse, ou se voce nao tiver um 
mouse, a próxima seęao ajuda voce a navegar pelo desktop a partir do teclado. 

Navegando com o teclado 

Se preferir manter as maos no teclado, voce pode trabalhar com o desktop GNOMĘ 3 diretamente a 
partir do teclado de varias maneiras, incluindo as seguintes: 

■ Tecla Windows — Pressione a tecla Windows no teclado. Na maioria dos teclados de PC, essa e a 

tecla com o logotipo do Microsoft Windows, ao lado da tecla Alt. Isso alterna entre os pontos de 
vista de minijanela (Overview) e janela ativa (espaęo de trabalho atual). Muitas pessoas usam 
bastante essa tecla. 

■ Selecione diferentes pontos de vista — A partir da visualizaęao Windows ou Applications, 

segure Ctrl+Alt+Tab para ver ummenu de diferentes pontos de vista (ver Figura 2.6). Ainda 
segurando as teclas Ctrl+Alt Tab, pressione mais urna vez para destacar um dos icones a seguir no 
menu e solte para seleciona-lo: 

■ Top Bar — Mantem a yisualizaęao atual. 

■ Dash — Destaca o primeiro aplicativo na barra de aplicativos a esquerda. Use as setas para 

mover para cima e para baixo esse menu e pressione Enter para abrir o aplicativo destacado. 

■ Windows — Seleciona o ponto de vista de janelas. 

■ Applications — Seleciona o ponto de vista de aplicativos. 




Search — Destaca a caixa de pesąuisa. Digite algumas letras para mostrar somente leones de 
aplicativos que contemas letras digitadas. Quando voce tiver digitado letras suficientes para 
identificar o aplicativo que voce deseja, pressione Enter para iniciar o aplicativo. 
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ione Ctrl+Alt+Tab a fim de exibir areas de desktop adicionais para selecionar. 


■ Selecione urna janela ativa — Retorna a qualquer um dos seus espaęos de trabalho (pressione 
a tecla Windows, se voce ja nao estiver emumespaęo de trabalho ativo). Pressione Alt+Tab 
para ver urna lista de todas as janelas ativas (ver Figura 2.7). Continue a segurar a tecla Alt ao 
pressionar a tecla Tab (ou a seta para a direita ou para a esquerda) a fim de realęar o 
aplicativo que voce deseja na lista de janelas de aplicativos de desktop ativos. Se um 
aplicatiyo tiver yarias janelas abertas, pressione Alt + ' (crase) para escolher urna das 
subjanelas. Solte a tecla Alt para seleciona-la. 
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ione Alt+Tab para selecionar o aplicativo em execuęao que voce quer ativar. 


■ Carregue um comando ou um aplicativo — A partir de qualquer espaęo de trabalho ativo, voce 

pode carregar um comando Linux ou um aplicativo grafico. Eis alguns exemplos: 

■ Aplicaęoes — Na tela Overview, pressione Ctrl+Alt+Tab e depois continue a pressionar Tab 

ate que o icone de engrenagens (Applications) seja destacado; entao solte as teclas Ctrl+Alt. A 
visualizaęao Applications aparece, como primeiro icone emdestaque. Use a tecla Tab ou as 
teclas de seta (para cima, para baixo, para a direita e para a esquerda) a firn de destacar o 
icone do aplicativo que voce quer e pressione Enter. 

■ Caixa de comando — Se voce sabe o nome de um comando que deseja executar, pressione 

Alt+F2 para exibir urna caixa de comando. Digite o nome do comando na caixa (experimente 
system-config-date para ajustar a data e hora, por exemplo). 

■ Caixa de pesquisa — Na tela Overview, pressione Ctrl+Alt+Tab e depois continue a pressionar 

Tab ate o icone de lupa (Search) ser realęado, entao solte as teclas Ctrl+Alt. Na caixa de 
pesquisa agora destacada, digite algumas letras do nome de um aplicativo ou a descrięao 
(digite ser para ver o que acontece). Continue digitando ate que o aplicativo desejado seja 
destacado (nesse caso, Screenshot) e pressione Enter para inicia-lo. 

■ Dash — Na tela Overview, pressione Ctrl+Alt+Tab e entao continue a pressionar Tab ate que o 

icone de estrela (Dash) seja destacado; em seguida, solte a tecla Ctrl+Alt. A partir do Dash, 
mova para cima e para baixo a firn de realęar um aplicativo que voce pretende carregar e 
pressione Enter. 

■ Escape — Quando voce estiver preso emuma aęao que nao deseja concluir, tente pressionar a 

tecla Esc. Por exemplo, depois de pressionar Alt+F2 (para introduzir um comando), abrir um 
icone da barra superior, ou ir a urna pagina de visao geral, pressionar Esc retorna para a janela 
ativa no desktop ativo. 

Espero que agora voce se sinta confortavel navegando pelo desktop do GNOMĘ 3. A seguir, voce pode 
experimentar executar alguns aplicativos desktop uteis e divertidos do GNOMĘ 3. 

Configurando o desktop GNOMĘ 3 

Muito do que voce precisa que o GNOMĘ 3 faęa por voce e configurado automaticamente. Mas ha alguns 
ajustes que voce vai querer fazer para que o desktop fique da maneira como prefere. Amaioria dessas 
atividades de configuraęao esta disponivel na janela System Settings (ver Figura 2.8). Abra o icone 
System Settings a partir da tela Applications. 
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mdo as configuraęóes do desktop a partir da janela System Settings. 


Eis algumas sugestóes para configurar um desktop GNOMĘ 3: 

■ Configurando a rede — Uma conexao de rede com fio geralmente e configurada automaticamente 

ąuando voce carrega seu sistema Fedora. Para redes sem fio, voce provavelmente tera de 
selecionar sua rede sem fio e adicionar uma senha ąuando solicitado. Um icone na barra superior 
permite fazer ąualąuer configuraęao de rede com ou sem fio que voce precise fazer. Consulte o 
Capitulo 14, “Administraęao de Redes”, para obter mais informaęóes sobre configuraęao de rede. 

■ Personal settings — Ferramentas nesse grupo permitem alterar o fundo do desktop (Background), 

usar diferentes contas Online (Online Accounts) e definir o idioma e o formato de data e moeda 
combase na regiao (Region e Language) e bloąueio de tela (Screen). Para alterar seu fundo, abra 
a janela System Settings, selecione Background e entao selecione umdos papeis de parede 
disponiveis. Para adicionar seu próprio fundo, baixe umpapel de parede do seu gosto para sua 
pasta Pictures e cliąue na caixa de Wallpapers para coloca-la na pasta Pictures e escolha a 
imagem que voce quiser. 

■ Bluetooth — Se seu computador tiver hardware Bluetooth, voce pode ativar esse dispositivo para 

se comunicar com outros dispositivos Bluetooth. 

■ Printers — Em vez de usar a janela System Settings para configurar uma impressora, consulte o 

Capitulo 16, “Configurando um servidor de impressao”, para obter informaęóes sobre como 
configurar uma impressora usando o servięo CUPS. 

■ Sound— Cliąue no botao configuraęóes de sompara ajustar os dispositivos de entrada e saida de 

som em seu sistema. 

■ Removable media — Para configurar o que acontece ąuando CDs, DVDs, leitores de musica ou 

outras midias removiveis sao inseridas em seu computador, selecione o icone Removable Media. 
Consulte o Capitulo 8, “Aprendendo administraęao de sistema”, para obter informaęóes sobre 
configuraęao de midia removivel. 


Estendendo o desktop GNOMĘ 3 

Se o shell do GNOMĘ 3 nao faz tudo o que voce quer, nao se desespere. \foce pode adicionar extens5es 
para fornecer funcionalidades adicionais ao GNOMĘ 3. Tambemha uma ferramenta GNOMĘ Tweakąue 
permite alterar configuraęóes avanęadas no GNOMĘ 3. 

0 uso de extensóes GNOMĘ Shell 

Extens5es de shell para o GNOMĘ estao disponiveis para alterar a maneira como o desktop GNOMĘ 
aparece e se comporta. Yisite o site GNOMĘ Shell Extensions (http : //extensions . gnomę . org) 




de seu navegador Firefox em seu desktop GNOMĘ 3 e ele informara qual extensao voce tem instalada e 
quais estao dispoiweis para instalar. 

Como a pagina de extens5es sabe quais extens5es voce tem e a versao do GNOMĘ 3 que esta em 
execuęao, ela pode apresentar somente as extens5es que sao compativeis com seu sistema. Muitas das 
extens5es ajudam-no a adicionar de volta recursos do GNOMĘ 2, incluindo: 

■ Menu Applications — Adiciona um menu Applications ao painel superior, exatamente como era 

no GNOMĘ 2. 

■ Indicador de status de locais — Adiciona um menu de status de sistemas, semelhante ao menu 

Places no GNOMĘ 2, para que voce navegue rapidamente para pastas uteis em seu sistema. 

■ Lista de janelas — Adiciona urna lista de janelas ativas ao painel superior, semelhante a Window 

List que aparecia no painel inferior do GNOMĘ 2. 

Para instalar urna extensao, basta seleciona-la na lista a firn de ver a pagina dela e, entao, clicar no botao 
nessa pagina para ativa-lo.'Clique emlnstall quando for perguntado se deseja baixar e instalar a 
extensao. A extensao e entao adicionada ao seu desktop. 

A Figura 2.9 mostra um exemplo do menu Applications (o icone em forma de pe do GNOMĘ), a Window 
List (mostrando varios icones de aplicativos ativos) e o Places Status Indicator (com pastas exibidas a 
partir de ummenu drop-down). 
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s5es adicionam recursos ao desktop GNOMĘ 3. 


Mais de 100 extens5es de shell para o GNOMĘ ja estao dispomveis e mais estao sendo adicionadas o 
tempo todo. Outras extens5es populares incluem Notifications Alert (que o alertam de mensagens nao 
lidas), o Presentation Modę (que impede que o protetor de tela seja ativado quando voce esta fazendo 
urna apresentaęao) e Musie Integration (que integra tocadores de musicas populares ao GNOMĘ 3 para 
que voce seja alertado sobre musicas sendo tocadas). 

Como o site de extens5es pode monitorar suas extens5es, voce pode clicar no botao Installed extensions 
no topo da pagina e ver todas as extens5es que estao instaladas. \foce pode ativar e desativar extens5es e 
ate exclul-las permanentemente. 

Usando o GNOMETweakTool 

Se voce nao gosta do jeito que algumas das caracterlsticas internas do GNOMĘ 3 se comportam, e 
posslvel alterar muitos delas como GNOMĘ TweakTool. Essa ferramenta nao e instalada por padrao 
como Fedora GNOMĘ Live CD, mas voce pode adiciona-lo ao instalar o pacote gnomę-tweak- 
tool (Consulte o Capltulo 10, “Obtendo e gerenciando o software”, a firn de obter informaęóes sobre 
como instalar pacotes de software no Fedora.) 

Urna vez instalado, o GNOMĘ Tweak Tool esta disponlvel clicando-se no leone Advanced Settings a 
partir de tela Applications. Comece coma categoria Desktop para considerar o que voce pode querer 
mudar no GNOMĘ 3. A Figura 2.10 mostra a Tweak Tool (janela Advanced Settings) mostrando as 
configuraęóes do desktop. 
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mdo as configuraęóes de desktop como GNOMĘ TweakTool (Adyanced Settings). 


Se voce esta acostumado a colocar arquivos e pastas na sua area de trabalho, pode clicar na opęao 
“Have file manager handle the desktop” (Deixar o gerenciador de arquivos lidar coma area de trabalho). 
\bce sera imediatamente capaz de abrir pastas e arrastar e soltar arquivos para o desktop. Se as fontes 
forem muito pequenas para voce, selecione a categoria Fonts e arraste o fator de escala de texto para 
aumentar o tamanho da fonte. Ou altere fontes individualmente para documentos, tltulos de janelas ou 
fontes monoespaęadas. 

Em Shell settings, voce pode alterar como as informaęóes do relógio sao exibidas na barra superior ou 
configurar o que acontece quando voce fecha a tampa do laptop (suspender, hibernar e assimpor diante). 
Para alterar a aparencia da area de trabalho, selecione a categoria Theme e mude o tema Icon e o tema 
GTK+ como voce quiser a partir das caixas suspensas. 

Comeęando com aplicativos desktop 

O desktop GNOMĘ 3 do live CD do Fedora vem com alguns aplicativos interessantes que voce pode 
comeęar a usar imediatamente. Para usar o GNOMĘ 3 como desktop todos os dias, voce deve instala-lo 
permanentemente no disco rigido do seu computador e adicionar os aplicativos de que precisa (um 
processador de texto, umeditor de imagem, umaplicativo de desenho etc.). Se voce estiver apenas 
comeęando, as seęóes a seguir listam alguns aplicativos interessantes para experimentar. 

Gerenciando arquivos e pastas com o Nautilus 

Para mover, copiar, excluir, renomear e de outra maneira organizar os arquivos e pastas no GNOMĘ 3, 
voce pode usar o gerenciador de arquivos Nautilus. O Nautilus vemcomo desktop GNOMĘ e funciona 
como os gerenciadores de arquivos que voce pode usar no Windows ou no Mac. 

Para abrir o Nautilus, clique no icone Files a partir do Dash do GNOMĘ ou da lista de aplicativos. Sua 
conta de usuario comeęa comumconjunto de pastas destinadas a armazenar os tipos mais comuns de 
conteudo: Musicas, Fotos, Videos etc. Esses sao todos armazenados no que e referido como seu diretório 
Home. A Figura 2.11 mostra o Nautilus aberto em um diretório home. 
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lcie arquivos e pastas a partir da janela do Nautilus. 


Quando quiser salvar os arquivos que voce baixou da Internet ou criou com um processador de texto, 
voce pode organiza-los nessas pastas. \bce pode criar novas pastas, conforme necessario, arrastar e 
soltar arquivos e pastas para copiar, move-los e exclm-los. 

Como o Nautilus nao e muito diferente da maioria dos gerenciadores de arquivo que voce ja usou em 
outros sistemas de computador, este capitulo nao entra em detalhes sobre como usar o arrastar e soltar e 
percorrer pastas para encontrar seu conteudo. Mas quero fazer algumas observaę5es que podem nao ser 
óbvias sobre como usar o Nautilus: 

■ Pasta Home — \bce tern controle total sobre os arquivos e pastas que cria em sua pasta pessoal. 

A maioria das outras partes do sistema de arquivos nao e acessivel a voce como um usuario 
reguł ar. 

■ Organizaęao do sistema de arquivos — Embora apareęa sob o nome Home, a pasta home 

encontra-se na verdade no sistema de arquivos sob a pasta /home em urna pasta nomeada com 
base no seu nome de usuario — por exemplo, /home/liveuser. Nos próximos capitulos, 
voce vai aprender como o sistema de arquivos e organizado (especialmente em relaęao ao shell 
de comando do Linux). 

■ Trabalhando com arquivos e pastas — Clique com o botao direito do mouse em um arquivo ou 

icone de pasta para ver como voce pode agir sobre ela. Por exemplo, voce pode copiar, cortar, 
mover para a lixeira (excluir), ou abrir qualquer icone de arquivo ou pasta. 

■ Criando pastas — Para criar urna nova pasta, clique com o botao direito do mouse em urna janela 

de pasta e selecione Create New Folder. Digite o novo nome da pasta sobre o destaque Untided 
Folder e pressione Enter para nomear a pasta. 

■ Acessando conteudo remoto — O Nautilus pode exibir conteudo de servidores remotos, bem 

como o sistema de arquivos local. No Nautilus, selecione Connect to Server no menu File. \bce 
pode se conectar a um servidor remoto via SSH (Secure Shell), FTP com login, FTP Publico, 
compartilhamento Windows, WebDav (HTTP), ou Secure WebDav (HTTPS). Adicione o nome de 
usuario e senha apropriados conforme necessario e o conteudo do servidor remoto aparece na 
janela do Nautilus. A Figura 2.12 mostra umexemplo de urna janela do Nautilus exibindo pastas a 
partir de um servidor remoto por meio do protocolo SSH. 
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;e pastas remotas usando o recurso Nautilus Connect to Server. 


Instalando e gerenciando software adicional 

O Fedora Live CD vem com um navegador (Firefox), um gerenciador de arquivos (Nautilus) e alguns 
outros aplicativos comuns. Mas existem muitos outros aplicativos uteis que, por causa de seutamanho, 
simplesmente nao caberiam em um live CD. Se voce instalar o live CD em seu disco rlgido (como 
descrito no Capitulo 9), certamente vai querer acrescentar alguns outros softwares. 


ta 

tente instalar um software se voce estiver executando o live CD. Como o espaęo gravavel de um live CD usa a 
lória virtual (RAM), esse espaęo e limitado e pode facilmente acabar. Alem disso, quando reiniciar o sistema, 
quercoisa que voce instalar tera desaparecido. 


Quando o Fedora e instalado, ele e automaticamente configurado para conectar seu sistema ao enorme 
repositório de software Fedora que esta disponlvel na internet. Desde que voce tenha urna conexao 
internet, voce pode executar a ferramenta Add/Remove software para baixar e instalar qualquer um dos 
milhares de pacotes do Fedora. 

Apesar de toda a facilidade para o gerenciamento de software no Fedora (os recursos yum e rpm) ser 
descrita em detalhes no Capitulo 10, “Obtendo e gerenciando software”, voce pode comeęar a instalar 
alguns pacotes de software sem saber muito sobre a forma como o recurso fund ona. Comece indo para a 
tela de aplicativos e abrindo a janela Add/Remove Software. 

Com a janela Add/Remove Software aberta, voce pode selecionar os aplicativos que deseja instalar, 
pesquisar (digite o nome na caixa Find), escolher urna categoria, ou classificar pacotes e selecionar a 
partir de urna lista (por coleęóes, novos pacotes ou pacotes selecionados). A Figura 2.13 mostra urna 
pesquisa para o pacote LibreOffice Writer, com ele selecionado e pronto para ser instalado. 
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e instale o software a partir do repositório Fedora. 


Comos pacotes que deseja selecionados, voce pode ler urna descrięao deles e ate mesmo ir para suas 
respectivas homepages para ler mais sobre o assunto. Quando estiver pronto, clique em Apply para 
instalar o pacote e quaisquer pacotes dependentes necessarios para faze-lo funcionar. 

Ao pesquisar e instalar alguns aplicativos de desktop comuns, voce deve ser capaz de comeęar a utilizar 
o desktop de forma eficaz. Consulte o Capltulo 10 para obter detalhes sobre como adicionar repositórios 
de software e usar os comandos yum e rpm para gerenciar o software no Fedora e no RHEL. 

Reproduzindo musica com o Rhythmbox 

O Rhythmbox e o tocador de musica que vem no Fedora GNOMĘ Live CD. \bce pode iniciar o 
Rhythmbox do Dash do GNOMĘ 3 e entao imediatamente reproduzir CDs de musica, podcasts ou shows 
de radio da internet. \bce pode importar arquivos de audio nos formatos WAV e Ogg \brbis, ou adicionar 
plug-ins para MP3 ou outros formatos de audio. 

A Figura 2.14 apresenta um exemplo da janela Rhythmbox com varios CDs de audio importados. 
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? musica, podcasts e radios da internet a partir do Rhythmbox. 


Eis algumas maneiras como voce pode comeęar com o Rhythmbox: 

■ Radio — De um duplo cliąue na opęao Radio sob Library. Entao, escolha urna estaęao de radio na 

lista que aparece a direita. 

■ Podcasts — Procure podcasts na internet e encontre a URL daąuele que lhe interessa. Clique com 

o botao direito do mouse na entrada Podcasts e selecione New Podcast Feed. Cole ou digite a 
URL do podcast e clique em Add. Urna lista de podcasts do site selecionado aparece a direita. De 
um duplo clique sobre o que voce quer ouvir. 

■ CDs de audio — Insira um CD de audio e pressione Play quando ele aparecer na janela do 

Rhythmbox. O Rhythmbox tambem permite copiar e gravar CDs de audio. 

■ Arquivos de audio — O Rhythmbox pode tocar arquivos WAV e Ogg \brbis. Ao adicionar plug- 

ins, voce pode tocar muitos outros formatos de audio, incluindo MP3. Como ha quest5es de 
patentes relacionadas com o formato MP3, a capacidade de reproduzir arquivos MP3 nao vem 
incluida no Fedora. No Capitulo 10, descrevo como obter softwares de que voce precisa mas que 
nao estao no repositório de sua distribuięao Linux. 

Existem plug-ins para o Rhythmbox que servem para obter a arte da capa, mostrar informaęóes sobre 
artistas e musicas, adicionar suporte a servięos de musica (como Last.fm e Magnatune) e buscar letras de 
musica. 

Parando o desktop GNOMĘ 3 

Quando voce terminar urna sessao do GNOMĘ 3, selecione o botao de usuario no canto superior direito 
da barra superior. A partir dai, voce pode optar por sair, suspender a sessao ou mudar para urna conta de 
usuario diferente sem fazer logout. 


Usando o desktop GNOMĘ 2 _ 

O desktop GNOMĘ 2 e a interface de desktop padrao utilizada por todo o Red Hat Enterprise Linux 6. 
Ele e bem conhecido, estavel e, talvez, umpouco entediante. 

Os desktops GNOMĘ 2 fornecemos menus, paineis, icones e espaęos de trabalho padróes. Se voce 
estiver usando um sistema Red Hat Enterprise Linux ate o RHEL6 ou urna antiga distribuięao Fedora ou 
Ubuntu, provavelmente esta olhando para um desktop GNOMĘ 2. Assim, esta seęao oferece umtour pelo 
GNOMĘ 2, juntamente com algumas oportunidades para enfeita-lo umpouco. 

Na epoca emque escreviamos isto, o GNOMĘ 2.38 era a versao mais recente disponiyel no Red Hat 





Enterprise Linux, embora a distribuięao que voce esta usando possa ou nao incluir essa versao. Os 
recentes lanęamentos do GNOMĘ incluem avanęos em efeitos 3D (ver “Efeitos 3D com o AIGLX” mais 
adiante neste capitulo) e recursos de usabilidade melhorados. 

Para utilizar sua area de trabalho do GNOMĘ, voce deve familiarizar-se com os seguintes componentes: 

■ Metacity (gerenciador de janelas) — O gerenciador de janelas padrao para o GNOMĘ 2.2 e o 

Metacity. As opędes de configuraęao do Metacity permitem controlar coisas como temas, bordas 
de janelas e controles usados em seu desktop. 

■ Compiz (gerenciador de janelas) — \foce pode ativar esse gerenciador de janelas do GNOMĘ 

para fornecer efeitos de desktop 3D. 

■ Nautilus (gerenciador de arquivos/shell grafico) — Quando voce abre urna pasta (clicando duas 

vezes no icone Home no desktop, por exemplo), a janela do Nautilus se abre e exibe o conteudo 
da pasta selecionada. O Nautilus tambem pode exibir outros tipos de conteudo, como pastas 
compartilhadas de computadores Windows na rede (usando o SMB). 

■ Paineis GNOMĘ (carregador de aplicativo/tarefa) — Esses paineis, que definemuma linha 

superior e urna inferior na sua tela, sao projetados para tornar mais conveniente para voce iniciar 
os aplicativos que usa, gerenciar a execuęao deles e trabalhar commultiplos desktops virtuais. 
Por padrao, o painel superior contembotdes de menu (Applications, Places e System), 
carregadores de aplicativos desktop (o programa de e-mail Evolution e o navegador Firefox), um 
alternador de espaęo de trabalho (para gerenciar quatro desktops virtuais) e um relógio. Os 
icones aparecemno painel quando voce precisa de atualizaędes de software ou o SELinux detecta 
umproblema. O painel inferior temumbotao Show Desktop, listas de janelas, urna lata de lixo e 
um alternador de espaęo de trabalho. 

■ Area do Desktop — As janelas e icones que voce usa sao dispostos no desktop, que suporta 

arrastar e soltar entre aplicativos, um menu de desktop (clique com o botao direito do mouse para 
ve-lo) e icones para carregar aplicativos. Um icone de computador consolida unidades de CD, 
unidades de disquete e o sistema de arquivos e recursos de rede compartilhados em um só lugar. 

O GNOMĘ tambem inclui umconjunto de janelas de preferencias que permitem configurar diferentes 
aspectos do seu desktop. \bce pode mudar fundos, cores, fontes, atalhos de teclado e outras 
caracteristicas relacionadas com a aparencia e o comportamento do desktop. A Figura 2.15 mostra como 
o desktop GNOMĘ 2 aparece na primeira vez que voce faz login, com algumas janelas adicionadas a 
tela. 
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Diente desktop GNOMĘ 2 


O desktop mostrado na Figura 2.15 e para o Red Hat Enterprise Linux. As seęóes a seguir fornecem 
detalhes sobre o uso do desktop GNOMĘ 2. 

Utilizando o gerenciador de janelas Metacity 

O gerenciador de janelas Metacity parece ter sido escolhido como o gerenciador de janelas padrao para 
o GNOMĘ por causa de sua simplicidade. O criador do Metacity se refere a ele como um “gerenciador 
de janelas chato para o adulto em voce” e, entao, passa a comparar outros gerenciadores de janelas com 
cereais de aęucar colorido, enąuanto o Metacity e caracterizado como um cereal comum de milho. 


ta 

usarefeitos 3D, a melhorsoluęao e usar o gerenciador de janelas Compiz, descrito mais adiante neste capitulo. 


Nao ha realmente muito que voce possa fazer com o Metacity (exceto fazer seu trabalho de forma 
eficiente). \foce atribui novos temas ao Metacity e muda cores e decoraędes de janelas por meio das 
preferencias do GNOMĘ (descritas mais adiante). Existem alguns poucos temas do Metacity, mas 
esperamos que o numero cresęa. 

As funęoes basicas do Metacity que podem interessar a voce sao atalhos do teclado e o alternador de 
espaęo de trabalho. A Tabela 2.1 mostra os atalhos de teclado para lidar como gerenciador de janelas 
Metacity. 


Tabela 2.1 Atalhos de Teclado 


ies 

Tecla de atalho 

erna entre os aplicativos, sem icones de pop-up 

Alt+Shift+Esc 

Brna entre paineis 

Alt+Ctrl+ Shift+Tab 

:ha o menu 

Esc 


Existemmuitos outros atalhos de teclado que voce pode usar como gerenciador de janelas. Selecione 
System => Preferences => Keyboard Shortcuts para ver urna lista de atalhos, como os seguintes: 

■ Executar dialogo — Para executar um comando a firn de iniciar um aplicativo de desktop pelo 

nome de comando, pressione Alt+F2. Na caixa de dialogo que aparece, digite o comando e 
pressione Enter. Por exemplo, digite gedit para executar umeditor de texto grafico simples. 

■ Bloąueio de tela — Se voce quer se afastar de sua tela e bloquea-la, pressione Ctrl+Alt+L. \hce 












tera de digitar sua senha de usuario para abrir a tela novamente. 

■ Exibir o menu principal — Para abrir um aplicativo a partir do menu Applications, Places ou 

System, pressione Alt+Fl. Entao, use as teclas de seta para cima e para baixo a firn de selecionar 
urna opęao a partir do menu atual ou as teclas de seta para a direita e para a esąuerda a firn de 
selecionar a partir de outros menus. 

■ Print Screen — Pressione a tecla Print Screen para capturar urna tela de todo o desktop. Pressione 

Alt+Print Screen para capturar urna tela da janela atual. 

Outra caracteristica de interesse do Metacity e o alternador de espaęo de trabalho. Quatro espaęos de 
trabalho virtuais aparecemno Workspace Switcher no painel do GNOMĘ 2. \bce pode fazer o seguinte 
com o Workspace Switcher: 

■ Escolher o espaęo de trabalho atual — Quatro espaęos de trabalho yirtuais aparecemno 

Workspace Switcher. Cliąue em qualquer um deles para torna-lo seu espaęo de trabalho atual. 

■ Mover janelas para outros espaęos de trabalho — Clique em qualquer janela, cada urna 

representada por um retangulo minusculo em um espaęo de trabalho, para arrastar e soltar para 
outro espaęo de trabalho. Da mesma forma, voce pode arrastar um aplicativo a partir da Window 
List para move-lo para outro espaęo de trabalho. 

■ Adicionar mais espaęos de trabalho — Clique com o botao direito do mouse no Workspace 

Switcher e selecione Preferences. \bce pode adicionar mais espaęos de trabalho (ate 32). 

■ Nomear espaęos de trabalho — Clique com o botao direito do mouse no Workspace Switcher e 

selecione Preferences. Clique no painel Workspaces para alterar os nomes de espaęos de trabalho 
para qualquer nome que voce escolher. 

\hce pode visualizar e alterar informaęóes sobre controles e configuraęóes do Metacity usando a janela 
do gconf-editor (digite gconf-editor em urna janela Terminal). Como a janela diz, nao e a 
maneira recomendada para alterar as preferencias, por isso, quando possivel, voce deve mudar o desktop 
por meio das preferencias do GNOMĘ 2. Entretanto, o gconf-editor e urna boa maneira de ver as 
descrięóes de cada recurso do Metacity. 

Apartir da janela do gconf-editor, selecione apps => metacity e depois escolha generał, 
global_keybindings, keybindings_commands, window_keybindings e workspace_names. Clique emcada 
chave para ver seu valor, juntamente com descrięóes breves e longas da chave. 

Alterando a aparencia do GNOMĘ 

\bce pode alterar a aparencia geral do seu desktop GNOMĘ selecionando System => Preferences < 
Appearance. Apartir da janela Appearance Preferences, selecione urna das tres diferentes abas: 

■ Theme — Para o desktop GNOMĘ 2, estao disponiveis temas inteiros que mudamas cores, 

icones, fontes e outros aspectos do desktop. Junto como desktop GNOMĘ, vemvarios temas 
diferentes, os quais voce pode simplesmente selecionar a partir dessa guia para usar. Ou clique 
em Get morę themes Online para escolher entre urna variedade de temas disponiveis. 



■ Background — Para alterar o fundo de tela, selecione a partir de urna lista de fundos dessa guia e 

apliąue imediatamente o efeito escolhido. Para adicionar um fundo diferente, coloąue o fundo que 
voce quer em seu sistema (talvez baixe um selecionando Get morę backgrounds online e o 
colocando na pasta Pictures). Entao, clique em Add e selecione a imagemda sua pasta Pictures. 

■ Fonts — Fontes diferentes podem ser selecionadas para usar por padrao em aplicativos e 

documentos, no desktop, na barra de tltulo da janela e para largura fixa. 


Usando os paineis GNOMĘ 

Os paineis GNOMĘ sao colocados na parte superior e na parte inferior do desktop GNOMĘ. A partir 
desses paineis, voce pode iniciar aplicativos (botóes ou menus), ver os programas que estao ativos e 
monitorar como o sistema esta funcionando. Existem tambem muitas maneiras de mudar os paineis 
superior e inferior — adicionando aplicativos ou monitores, alterando o posicionamento ou o 
comportamento do painel, por exemplo. 

Clique com o botao direito do mouse em qualquer espaęo aberto em cada painel para ver o menu do 
painel. A Figura 2.16 mostra o menu do painel na parte superior. 
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nu do painel do GNOMĘ 


Apartir do menu do painel do GNOMĘ, voce pode escolher uma entre varias funęóes, incluindo: 

■ Use the menus 

■ O menu Applications exibe a maioria dos aplicativos e ferramentas de sistema que voce ira usar 

a partir do desktop. 

■ O menu Places permite selecionar lugares para ir, como a pasta Desktop, a pasta inicial, midia 

removivel ou locais de rede. 

■ O menu System permite alterar as preferencias e configuraęóes do sistema, bem como obter 

outras informaęóes sobre o GNOMĘ. 

■ Add to Panel — Adicionar um applet, menu, carregador, gaveta ou botao. 

■ Properties — Muda a posięao, tamanho e propriedades de fundo do painel. 

■ Delete This Panel — Exclui o painel atual. 

■ New Panel — Adiciona paineis ao desktop em diferentes estilos e localizaęóes. 

\bce tambempode trabalhar comitens emum painel. Por exemplo, voce pode: 

■ Mover itens — Para mover um item em um painel, clique com o botao direito do mouse, selecione 

Move e entao arraste e solte para uma nova posięao. 

■ Redimensionar itens — \bce pode redimensionar alguns elementos, tais como a lista de janelas, 

clicando em uma borda e arrastando-a para o novo tamanho. 

■ Usar a lista de janelas — Tarefas em execuęao no desktop aparecem na area da lista de janelas. 

Clique em uma tarefa para minimizar ou maximizar. 

As seęóes a seguir descrevem algumas coisas que voce pode fazer com o painel do GNOMĘ. 

Usando os menus Applications e System 

Clique em Applications no painel e voce vera categorias de aplicativos e ferramentas de sistema que 
voce pode selecionar. Clique no aplicativo que voce deseja iniciar. Para adicionar um item de ummenu a 
firn de poder iniciar a partir do painel, arraste e solte o itemque voce quer para o painel. 

\bce pode adicionar itens aos menus do seu GNOMĘ 2. Para fazer isso, clique com botao direito em 
qualquer umdos nomes de menu e selecione Edit Menus. Ajanela que aparece permite adicionar ou 
excluir menus associados com os menus Applications e System \bce tambem pode adicionar itens para 
carregar a partir desses menus, selecionando New Item e digitando o nome, comando e comentario para o 
item 




Adicionando um miniaplicativo (applet) 

\bce pode executar varios peąuenos aplicativos, chamados applets, diretamente no painel do GNOMĘ. 
Esses aplicativos sao capazes de mostrar informaęóes que voce queira ver constantemente ou apenas 
proporcionar alguma diversao. Para ver quais miniaplicativos estao dispomveis e para adicionar os 
miniaplicativos que voce quer ao seu painel, execute os seguintes passos: 

1 - Clique com o botao direito do mouse em urna area vazia no painel de modo que o menu 
Panel apareęa. 

2 - Clique em Add to Panel. Urna janela Add to Panel aparece. 

3 - Selecione urna opęao entre as varias dezenas de applets, incluindo umrelógio, pesquisa de 
dicionario, cotaęóes da bolsa de valores (stock ticker ) e previsao do tempo. O applet 
selecionado aparece no painel, pronto para voce usar. 

A Figura 2.17 mostra (da esquerda para a direita) o applet dos “olhinhos”, o monitor de sistema, a 
previsao do tempo, o terminal e Wanda, o peixe. 
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:ar applets no painel facilita o acesso a eles. 


Depois que um applet esta instalado, clique com o botao direito do mouse no painel para ver quais 
opęóes estao disponiveis. Por exemplo, selecione Preferences para o stockticker e voce pode adicionar 
ou excluir aęóes cujos preęos voce queira monitorar. Se voce nao gostar da localizaęao do applet, clique 
com o botao direito do mouse, clique em Move, deslize o mouse ate o applet estar onde voce o quer 
(mesmo para outro painel) e clique para definir sua localizaęao. 

Se voce nao quiser mais que um miniaplicativo apareęa no painel, clique com o botao direito do mouse 
nele e depois clique emRemove From Panel. O icone que representa o applet desaparece. Se achar que 
falta espaęo em seu painel, voce pode adicionar um novo painel a outra parte da tela, como descrito na 
próxima seęao. 

Adicionando outro painel 

Se ficar sem espaęo nos paineis superior ou inferior, voce pode adicionar mais paineis ao seu desktop. E 
possivel ter varios paineis em seu desktop GNOMĘ 2. \bce pode adicionar paineis que se estendem ao 
longo da parte superior, ao longo da parte inferior ou ao longo de um dos lados da tela. Para adicionar 
um painel, faęa o seguinte: 

1 - Clique com o botao direito do mouse em urna area vazia no painel de modo que o menu 
Panel apareęa. 

2 - Clique emNew Panel. Umnovo painel aparece no lado direito da tela. 

3 - Clique com o botao direito do mouse em um espaęo aberto no novo painel e selecione 
Properties. 

4 - Apartir de Panel Properties, selecione onde voce deseja que o painel fique a partir da caixa 
Orientation (Top, Bottom, Left ou Right - Em cima, Em Baixo, Esquerda ou Direita). 

Depois de adicionar um painel, voce pode adicionar applets ou carregadores de aplicativos a ele como 
voce fez com o painel padrao. Para remover um painel, clique com o botao direito do mouse nele e 
selecione Delete This Panel. 

Adicionando um launcherdeaplicativo 

Icones em seu painel representam um navegador web e aplicativos de escritório diversos. \foce pode 
adicionar seus próprios icones para carregar aplicativos do painel tambem. Para adicionar um novo 
launcher de aplicativo no painel, faęa o seguinte: 

Clique com o botao direito do mouse em urna area vazia no painel. 

2 - Clique em Add to Panel => Application Launcher a partir do menu. Todas as categorias de 
aplicativos de seus menus Applications e System aparecem 

3 - Selecione a seta ao lado da categoria de aplicativo que voce quer e entao, selecione Add. 




Umicone representando o aplicativo aparece no painel. 


Para iniciar o aplicativo que voce acabou de adicionar, basta clicar no icone que aparece no painel. 

Se o aplicativo que voce deseja carregar nao estiver emumdos seus menus, voce pode construir um 
carregador da seguinte maneira: 

1 - Clique com o botao direito do mouse em urna area vazia no painel. 

2 - Clique em Add to Panel => Custom Application Launcher => Add. Ajanela Create Launcher 
aparece. 

3 - Forneęa as seguintes informaęóes para o aplicativo que voce quer adicionar: 

■ Type — Selecione Application (para carregar um aplicativo grafico normal) ou 

Application in Terminal. Use Application in Terminal se o aplicativo for baseado em 
texto ou for o ncurses. (Aplicativos escritos usando a biblioteca ncurses rodamemuma 
janela de Terminal, mas oferecem um mouse e controles pelo teclado.) 

■ Name — Um nome para identificar o aplicativo (isso aparece na dica de ferramenta 

quando o mouse esta sobre o icone). 

■ Command — A linha de comando que e executada quando o aplicativo e carregado. Use o 

caminho completo e quaisquer opęóes necessarias. 

■ Comment — Um comentario que descreve o aplicativo. Ele tambem aparece quando voce 

mais tarde move o mouse sobre o carregador. 

4 - Clique na caixa Icon (que pode exibir No Icon). Selecione umdos icones mostrados e 
clique em OK. Alternativamente, voce pode navegar pelo sistema de arquivos para escolher 
umicone. 

5 - Clique em OK. 

O aplicativo agora deve aparecer no painel. Clique nele para iniciar o aplicativo. 


ta 

ss disponiveis para representar seu aplicativo estao contidos no diretório /usr/share/pixmaps. Esses 
5S estao nos formatos .png ou .xpm. Se nao houver um icone no diretório que voce quer usar, crie seu próprio (em 
esses dois formatos) e o atribua ao aplicativo. 


Adicionando uma gaveta 

Urna gaveta e um icone em que voce pode clicar para exibir outros icones representando menus, applets e 
carregadores; ele funciona como um painel. Essencialmente, qualquer itemque voce possa adicionar a 
um painel, tambem podera adicionar a uma gaveta. Ao adicionar uma gaveta ao painel do GNOMĘ, voce 
pode incluir varios applets e carregadores que, juntos, ocupamo espaęo de apenas umicone. Clique na 
gaveta para mostrar os applets e carregadores, como se estivessem sendo puxadas para fora de um icone 
de gaveta no painel. 

Para adicionar uma gaveta ao seu painel, clique com o botao direito do mouse no painel e selecione Add 






to Panel => Drawer. A gaveta e exibida no painel. Clique com o botao direito do mouse e adicione 
applets ou carregadores a gaveta como voce faria com um painel. Clique no leone novamente para fechar 
a gaveta. 

A Figura 2.18 mostra urna parte do painel com urna gaveta aberta que inclui umicone para o 
carregamento de urna previsao do tempo, notas e cotaęóes da bolsa de valores. 
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one carregadores ou applets a urna gaveta no painel do GNOMĘ 2. 


Alterando as propriedades do painel 

\bce pode alterar a orientaęao, o tamanho, a politica de ocultamento e as propriedades de fundo dos 
paineis do desktop. Para abrir a janela Panel Properties que se aplica a um painel especifico, clique com 
o botao direito do mouse emumespaęo livre no painel e escolha Properties. A janela Panel Properties 
que aparece inclui os seguintes valores: 

■ Orientation — Mova o painel para locais diferentes da tela clicando em urna nova posięao. 

■ Size — Selecione o tamanho do painel, escolhendo a altura empixels (48 pixels por padrao). 

■ Expand — Marque essa caixa de seleęao para que o painel se expanda ate preencher todo o lado, 

ou desmarque a caixa de seleęao para deixar o painel com o tamanho dos applets que ele contem. 

■ AutoHide — Selecione se um painel e automaticamente oculto (aparecendo somente quando o 

ponteiro do mouse estiver na area). 

■ Show Hide buttons — Escolha se os botdes Hide/Unhide (com setas pixmap sobre eles) aparecem 

nas bordas do painel. 

■ Arrows on hide buttons — Se voce selecionar Show Hide Buttons, voce pode optar por ter setas 

nesses botóes. 

■ Background — A partir da guia de fundo, voce pode atribuir urna cor ao fundo do painel, atribuir 

urna imagem de pixmap, ou apenas deixar o padrao (que e baseado no tema atual do sistema). 
Clique na caixa de seleęao Background Image se voce quiser selecionar urna imagem para o fundo 
e, entao, selecione urna imagem, como um “ladrilho” de 

/usr/share/backgrounds/tiles ou outro diretório. 


:a 

armalmente ligo o recurso de AutoHide e desligo os botóes Hide. Usar AutoHide oferece mais espaęo de desktop 
trabalhar. Quando voce move o mouse para a borda, onde o painel esta, o painel aparece - assim voce nao 
isa dos botóes Hide. 


Efeitos 3D com o AIGLX 

Diversas iniciativas tern feito progressos nos ultimos anos para trazer efeitos de desktop 3D para o Linux. 
Ubuntu, OpenSuse e Fedora utilizamo AIGLX (http : //fedoraproj ect. org 
/wiki/RenderingProject/aiglx). 

O objetivo do projeto Accelerated Indirect GLX (AIGLX) e adicionar efeitos 3D a sistemas desktop de 







uso rotineiro. Ele faz isso por meio da implementaęao dos efeitos acelerados do OpenGL 

(http : //opengl. org) utilizando a implementaęao do OpenGL em código-fonte aberto chamada 

Mesa (http : / /www. mesa3d. org). 

Atualmente, AIGLX suporta umconjunto limitado de placas de vldeo e implementa apenas alguns efeitos 
3D, mas da urna boa ideia dos recursos sofisticados para “encher os olhos” que estao em 
desenvolvimento. 

Se a sua płaca de vldeo foi corretamente detectada e configurada, voce pode ser capaz de simplesmente 
ligar o recurso de efeitos de desktop para ver os efeitos que foram implementados ate o momento. Para 
ativar os Desktop Effects, selecione System => Preferences => Desktop Effects. Quando a janela Desktop 
Effects aparecer, selecione Compiz. (Se essa opęao nao estiver disponivel, instale o pacote Compiz.) 

A ativaęao do Compiz faz o seguinte: 

■ Starts Compiz (Iniciar o Compiz) — Interrompe o gerenciador de janelas atual e inicia o 

gerenciador de janelas Compiz. 

■ Enables the Windows Wobble When Moved effect (Ativa o efeito Tremular Janela quando 

movido) — Com esse efeito, quando voce agarra a barra de titulo da janela para move-la, ela 
tremula ao ser movida. Menus e outros itens que abrem no desktop tambem tremulam 

■ Enables the Workspaces on a Cube effect (Habilitar os espaęos de trabalho emum efeito 

Cubo) — Arraste urna janela no desktop para a direita ou para a esquerda e o desktop ira rodar 
como um cubo, com cada um dos espaęos de trabalho do seu desktop aparecendo como um lado 
do cubo. Solte a janela no espaęo de trabalho onde voce quer que ele fique. \foce tambem pode 
clicar no applet Switcher Workspace no painel inferior para girar o cubo a firn de exibir 
diferentes espaęos de trabalho. 

Outros bons efeitos de desktop resultamao usar as teclas Alt+Tab para alternar entre diferentes janelas 
em execuęao. Conforme voce pressiona Alt+Tab, urna miniatura de cada janela rola pela tela quando a 
janela que ela representa e realęada. 

A Figura 2.19 mostra um exemplo de um desktop com o Compiz AIGLX ativado. A figura ilustra urna 
janela de navegador sendo movida de um espaęo de trabalho para outro, e os espaęos de trabalho girando 
sobre um cubo. 



RA 2.19 


?spaęos de trabalho em um cubo com efeitos de desktop AIGLX atiyado. 


Eis alguns efeitos interessantes que voce pode obter com seu desktop AIGLX 3D: 

■ Girar cubo — Segure Ctrl+Alt e pressione as teclas de seta para a direita e para a esąuerda. O 

cubo do desktop gira para cada sucessivo espaęo de trabalho (para frente ou para tras). 

■ Girar cubo lentamente — Segure as teclas Ctrl+Alt, pressione e segure o botao esąuerdo do 

mouse e mova o mouse na tela. O cubo se move lentamente com o mouse entre os espaęos de 
trabalho. 

■ Redimensionar e separar as janelas — Se seu desktop estiver bagunęado, segure Ctrl+Alt e 

pressione a seta para cima. As janelas irao encolher e se separar no desktop. Ainda segurando 
Ctrl+Alt, use as teclas de seta para destacar a janela que voce deseja e solte as teclas para fazer 
essa janela vir para o primeiro piano. 

■ Alternar entre as janelas — Segure a tecla Alt e pressione a tecla Tab. \foce vai ver vers5es 

reduzidas de todas as suas janelas em urna faixa no meio da tela, com a janela atual destacada no 
meio. Ainda segurando a tecla Alt, pressione Tab ou Shift+Tab para avanęar ou retroceder pelas 
janelas. Solte as teclas quando a que voce quer estiver realęada. 

■ Redimensionar e separar os espaęos de trabalho — Segure Ctrl+Alt e pressione a tecla de seta 

para baixo a firn de ver imagens reduzidas dos espaęos de trabalho mostradas em urna faixa. 
Ainda segurando Ctrl+Alt, use as teclas de seta para a direita e para a esquerda a firn de mover- 
se entre os diferentes espaęos de trabalho. Solte as teclas quando o espaęo de trabalho que voce 
quer e realęado. 

■ Enviar a janela atual para o espaęo de trabalho seguinte — Segure Ctrl+Alt+Shift juntas e 

pressione as teclas de seta para a esquerda e para a direita. O espaęo de trabalho seguinte a 
esquerda ou a direita, respectivamente, aparece no desktop atual. 

■ Deslizar janelas — Pressione e segure o botao esquerdo do mouse sobre a barra de titulo da 

janela e pressione as teclas de seta para a esquerda, para a direita, para cima ou para baixo a firn 
de deslizar a janela atual pela tela. 

Se ficar cansado de janelas tremulando e cubos girando, voce pode facilmente desativar os efeitos 3D 
AIGLX e voltar a usar o Metacity como gerenciador de janelas. Selecione System => Preferences => 
Desktop novamente e desative o botao Enable Desktop Effects para desabilitar o recurso. 

Se voce tiver urna płaca de video suportada, mas achar que nao e capaz de ativar os efeitos de desktop, 
verifique se o servidor X foi iniciado corretamente. Em particular, certifique-se de que o arquivo 
/etc/Xll/xorg. conf esta devidamente configurado. Certifique-se de que dri e glx estao 
carregados na seęao Module. Alemdisso, adicione urna seęao de extens5es emqualquer lugar do arquivo 
(geralmente no finał do arquivo) que aparece da seguinte maneira: 




Section "extensions 


Option "Composite" 

EndSection 

Outra opęao e adicionar a seguinte linha ao arquivo /etc/Xl 1 /xorg. conf na seęao Device: 

Option "XAANoOffscreenPixmaps" 

A opęao XAANoOf f screenPixmaps ira melhorar o desempenho. Verifique seu arquivo 
/var/log/Xorg. log para se certificar de que os recursos DRI e AIGLX foraminiciados 
corretamente. As mensagens nesse arquivo tambempodemajudar a depurar outros problemas. 


Resumo 


O ambiente desktop GNOMĘ tornou-se o padrao para muitos sistemas Linux, incluindo o Fedora e o 
RHEL. O GNOMĘ 3 (usado agora no Fedora) e um desktop moderno e elegante, projetado para combinar 
comos tipos de interfaces dispomveis emmuitos dos dispositivos móveis de hoje. O desktop GNOMĘ 2 
(utilizado no RHEL 6) proporciona urna experiencia de desktop mais tradicional. 

Alem dos desktops GNOMĘ, existem outros ambientes de desktop populares e uteis que voce pode 
experimentar. O K Desktop Environment (KDE) oferece muito mais penduricalhos que o GNOMĘ e e 
usado por padrao em diversas distribuięóes Linux. Distribuięóes em netbooks e Live CD as vezes usam 
os desktops LXDE ou Xfce. 

Agora que voce tern urna ideia de como obter e usar um desktop Linux, e hora de comeęar a se aprofundar 
nas interfaces administrativas mais profissionais. O Capitulo 3 apresenta a interface de shell de linha de 
comando do Linux. 


Bcercicios 


Use esses exercicios para testar sua habilidade no uso de um desktop GNOMĘ. \bce pode usar um 
desktop GNOMĘ 2.x (Red Hat Enterprise Linux ate RHEL 6.x) ou GNOMĘ 3.x (Fedora 16 ou versao 
posterior, ouUbuntu 11.10 ouversao posterior). Se voce empacar em algum exercicio, as soluęóes para 
as tarefas (tanto no GNOMĘ 2 como no GNOMĘ 3) estao no Apendice B. 

Obtenha um sistema Linux com um desktop GNOMĘ 2 ou GNOMĘ 3. Inicie o sistema e faęa 
login em um desktop GNOMĘ. 

2 - Inicie o navegador Firefox e va para a pagina inicial do GNOMĘ 

(http : / /gnomę . org). 

3 - Escolha um fundo de que voce goste no site de arte do GNOMĘ 

(http: / /art. gnomę . org/backgrounds), baixe-o para a pasta Pictures e 
selecione-o como seu fundo atual. 





4 - Inicie uma janela Nautilus File Manager e a mova para o segundo espaęo de trabalho em seu 
desktop. 

5 - Encontre a imagem que voce baixou para usar como fundo do desktop e abra-a em qualquer 
visualizador de imagens. 

6 - Alterne entre os espaęos de trabalho com o Firefox nele e aquele com o gerenciador de 
arquivos Nautilus. 

7 - Abra uma lista de aplicativos instalados em seu sistema e selecione um visualizador de 
imagens para abrir a partir dessa lista. Tente usar o minimo possivel de cliques ou teclas. 

8 - Altere a visualizaęao das janelas no seu espaęo de trabalho atual para visualizaę5es 
menores de modo que possa ver todas ao mesmo tempo e alternar entre elas. Selecione 
qualquer janela que voce gostaria de tornar sua janela atual. 

9 - No seu desktop, usando apenas o teclado, carregue umtocador de musica. 

10 - Capture uma tela do seu desktop, usando apenas o teclado. 



Parte II 

Tornando-se um usuario avanęado 
do Linux 


NESTA PARTE 

Capftulo 3 

Utilizando o Shell 

Capftulo 4 

Movendo-se pelo Sistema de Arquivos 

Capftulo 5 

Trabalhando com Arquivos de Texto 

Capftulo 6 

Gerenciando Processos em Execuęao 

Capftulo 7 

Escrevendo Scripts de Shell Simples 



Utilizando o Shell 


CAPITUl^) 


NESTE CAPITULO 

Entendendo o shell do Linux 

Usando o shell a partir de consoles ou terminais 

Usando comandos 

Usando o histórico de comandos e o completamento de comando com tab 

Conectando e expandindo comandos 

Entendendo variaveis e aliases 

Tornando as configuraęóes de shell permanentes 

Usando paginas man e outras documentaęóes 

A ntes de icones e janelas tomaremas telas de computador, voce digitava comandos para interagir 
com a maioria dos computadores. Em sistemas UNIX, do qual o Linux se originou, o programa 
usado para interpretar e gerenciar comandos era referido como shell. 

Independentemente da distribuięao Linux que voce esteja usando, voce sempre pode contar como fato de 
que o shell esta dispomvel para voce. Ele fornece urna maneira de criar arquivos de script executaveis, 
executar programas, trabalhar com sistemas de arquivos, compilar código de computador e gerenciar o 
computador. Embora o shell seja menos intuitivo do que interfaces graficas (GUIs) comuns, a maioria dos 
especialistas considera o shell do Linux como sendo muito mais poderoso do que as GUIs. Os shells ja 
existemha muito tempo e muitos recursos avanęados foram construidos neles. 

O shell do Linux ilustrado neste capitulo e chamado de shell bash, que e urna abreviaęao de Bourne 
Again Shell. O nome deriva do fato de que o bash e compativel com um dos primeiros shells UNIX: o 
shell Bourne (em homenagem a seu criador Stephen Bourne e representado pelo comando sh). 

Embora o bash seja incluido na maioria das distribuiędes e seja considerado umpadrao, outros shells 
estao disponiveis, incluindo o shell C (csh), que e popular entre os usuarios de BSD UNIX, e o shell 
Korn (ksh), que e popular entre os usuarios de Unix System V O Ubuntu usa o shell dash, por padrao, 
que e projetado para executar mais rapido do que o shell bash. O Linux tambem tern um shell tcsh (um 
shell C aprimorado) e um shell ash (outro shell sósia do shell Bourne). 



E muito provavel que a distribuięao Linux que voce esta usando tenha mais de um shell instalado por 
padrao e esteja dispoiwel para seuuso. Este capitulo, porem, se concentra principalmente no shell bash. 
Isso porque as distribuiębes Linux apresentadas neste livro, Fedora e Red Hat Enterprise Linux, usam, 
ambas, o shell bash por padrao. 

Eis algumas razbes importantes para aprender a usar o shell: 

■ Abce sabera se virar em qualquer Linux ou outro sistema tipo UNIX. Por exemplo, eu posso fazer 

login no meu servidor web do Red Hat Enterprise Linux, meu servidor multimidia de casa, ou no 
Mac da minha esposa e explorar e usar qualquer um desses sistemas de computador a partir de um 
shell. Posso ate mesmo fazer login e executar comandos no meu celular Android. Todos eles 
executam sistemas Linux ou similares internamente. 

■ Recursos especiais de shell permitem coletar entrada de dados e direcionar saida de dados entre 

comandos e o sistema de arquivos do Linux. Para economizar digitaęao, voce pode encontrar, 
editar e repetir comandos a partir do histórico de comandos do seu shell. Muitos usuarios 
avanęados raramente usam urna interface grafica, fazendo a maior parte de seu trabalho a partir de 
um shell. 

■ Abce pode reunir os comandos em um arquivo usando construębes de programaęao, tais como 

testes condicionais, loops e instruębes case para rapidamente fazer operaębes complexas que 
seriam trabalhosas para redigitar repetidamente. Programas compostos de comandos que sao 
armazenados e executados a partir de umarquivo sao referidos como Scripts de shell. Amaioria 
dos administradores de sistemas Linux utiliza Scripts de shell para automatizar tarefas como fazer 
backup de dados, monitorar arquivos de log ou verificar a saude do sistema. 

O shell e uminterpretador de linguagemde comandos. Se voce ja usou os sistemas operacionais da 
Microsoft, vai ver que o uso de um shell no Linux e semelhante — mas geralmente muito mais poderoso 
— ao interpretador usado para executar comandos no DOS ou na interface de comando CMD. Abce pode 
usar o Linux alegremente a partir de urna interface de desktop grafica, mas, a medida que for crescendo 
em Linux, vai precisar usar o shell em algum ponto para rastrear um problema ou administrar alguns 
recursos. 

Como usar o shell nao e óbvio no comeęo, mas coma aj uda certa, voce pode aprender rapidamente 
muitos dos recursos mais importantes dele. Este capitulo e seu guia para trabalhar com comandos de 
sistema, processos e sistema de arquivos do Linux a partir do shell. Ele descreve o ambiente de shell e 
ajuda voce a adapta-lo as suas necessidades. 


Sobre Shells e Janelas de Terminal 


Ha varias maneiras de se chegar a urna interface de shell no Linux. Tres das mais comuns sao o prompt de 
shell, a janela de terminal e o console virtual, sobre os quais voce aprendera mais nas próximas seębes. 

Para comeęar a utilizar esta seęao, inicie seu sistema Linux. Na sua tela, voce devera ver um prompt de 
login emtexto simples semelhante ao seguinte: 


Red Hat Enterprise Linux Workstation Release 6.1 (Santiago 




Kernel 2.6.32-131... on X86 
joe login: 


Ou voce vera uma tela de login grafica. 

Em qualquer um dos casos, voce deve fazer login com uma conta de usuario regular. Se voce tiver um 
prompt de login de texto simples, continue na seęao “Usando o prompt de shell”. Se voce entrar por meio 
de uma tela grafica, va para “Usando uma janela de terminal” para ver como acessar um shell a partir do 
desktop. Em ambos os casos, voce pode acessar mais shells, como descrito na seęao “Usando consoles 
yirtuais”. 

Usando o prompt de shell 

Se seu sistema Linux nao tern interface grafica do usuario (ou uma que nao esta funcionando no momento), 
voce provavelmente vera um prompt de shell depois de fazer login. Digitar comandos do shell podera ser 
seu principal meio de usar o sistema Linux. 

O prompt padrao para um usuario comum e simplesmente um sinal de cifrao: 

$ 

O padrao de solicitaęao para o usuario root e um sinal de jogo da velha (tambem chamado de cerąuilha ): 

# 

Na maioria dos sistemas Linux, os prompts $ e # sao precedidos por seu nome de usuario, o nome do 
sistema e o nome do diretório atual. Por exemplo, uma tela de login para o usuario chamado jake emum 
computador chamado pine com / usr/share / como o diretório de trabalho atual apareceria como: 

[jake@pine share]$ 

\bce pode mudar o prompt para exibir os caracteres que lhe agradam e ate ler trechos de informaęóes 
sobre o sistema — por exemplo, voce pode usar o diretório de trabalho atual, a data, o nome do 
computador local ou qualquer sequencia de caracteres como seu prompt. Para configurar seu prompt, 
consulte a seęao “Configurando o Prompt” mais adiante neste capitulo. 

Apesar de um enorme numero de recursos estar disponivel com o shell, e facil comeęar apenas digitando 
alguns comandos. Tente alguns comandos mostrados no restante desta seęao para familiarizar-se com seu 
ambiente atual de shell. 

Nos exemplos que se seguem, os simbolos de cifrao ($) e cerquilha (#) indicam um prompt. Enquanto um 
$ indica que o comando pode ser executado por qualquer usuario, um # normalmente significa que voce 
deve executar o comando como root — muitas ferramentas administrativas exigem permissao de root 
para ser capaz de executa-las. O prompt e seguido pelo comando que voce digita (e entao voce pressiona 
Enter). As linhas que se seguem exibem a saida resultante do comando. 



Usando uma janela terminal 

Com a interface grafica do desktop rodando, voce pode abrir um programa emulador de terminal (as 
vezes referido como janela de terminal) para iniciar um shell. Amaioria das distribuięóes Linux facilita 
o acesso a um shell a partir da interface grafica. Eis duas maneiras comuns para carregar uma janela de 
terminal a partir de um desktop Linux: 

■ Cliąue com o botao direito do mouse na area de trabalho. No menu de contexto que aparece, se 

voce ve Open in Terminal, Shells, New Terminal, Terminal Window, Xterm ou algum item 
similar, selecione-o para iniciar uma janela de terminal. (Algumas distribuięóes desabilitam esse 
recurso.) 

■ Cliąue no menu do painel. Muitos desktops Linux incluem um painel na parte superior ou inferior 

da tela a partir do qual voce pode carregar aplicativos. Por exemplo, emalguns sistemas que 
usam o desktop GNOMĘ, voce pode selecionar Applications => System Tools => Terminal para 
abrir uma janela de terminal. 

Em todos os casos, voce deve ser capaz de digitar um comando como se fosse a partir de um shell sem 
GUI. Ha varios emuladores de terminal disponiveis no Linux. No Fedora, Red Hat Enterprise Linux 
(RHEL) e outras distribuięóes Linux que usam o desktop GNOMĘ, a janela padrao do emulador de 
terminal e um terminal GNOMĘ (representado pelo comando gnomę-terminal). 

O Terminal GNOMĘ suporta muitas funęóes alem do shell basico. Por exemplo, voce pode cortar e colar 
texto para ou de uma janela do Terminal GNOMĘ, alterar fontes, definir umtitulo, escolher cores ou 
imagens para usar como fundo e definir quanto texto salvar quando o ele rola para fora da tela. 

Para experimentar alguns recursos do Terminal do GNOMĘ, inicie um sistema Fedora ou RHEL e faęa 
login no desktop. Entao, siga este procedimento: 

1 - Select Applications => System Tools => Terminal. A janela de terminal deve abrir no seu 
desktop. 

2 - Selecione Edit => Profiles, entao, comDefault destacado, selecione Edit. 

3 - Na guia General, desmarąue a caixa “Use the system fixed width font” ("Usar a fonte 
de largura fixa do sistema”). 

4 A partir da janela Choose A Terminal Font, experimente uma fonte diferente e 
selecione OK. Anova fonte aparece na janela de terminal. 

5 Selecione de novo a caixa "Use system fixed width font”. Isso vai levar voce de volta a 
fonte original. 

6 - Na guia Colors, limpe a caixa “Use colors from system the me” ("Usar as cores do tema 
do sistema”). A partir dai voce pode experimentar diferente fontes e cores de fundo. 

7 Selecione de novo a caixa “Use colors from system the me” para restaurar as cores 
padrao. 

8 - Va para a janela Profile. Ha outros recursos que voce pode querer experimentar, como 
definir uma imagem de fundo, tornar o fundo transparente ou definir quantos dados rolados 



sao mantidos. 


9 - Feche a janela Profile quando terminar. Agora voce esta pronto para usar sua janela de 
terminal. 

Se estiver usando o Linux a partir de um desktop grafico, provavelmente voce acessara o shell a partir de 
uma janela de terminal na maioria das vezes. 


Usando consoles virtuais 

A maioria dos sistemas Linux que incluem uma interface de desktop inicia varios consoles virtuais para 
rodar no computador. Consoles virtuais sao uma maneira de ter yarias sessóes de shell abertas ao mesmo 
tempo, alemda interface grafica que voce esta usando. 

\bce pode alternar entre os consoles virtuais, segurando as teclas Ctrl e Alt e pressionando uma tecla de 
funęao entre FI e F7. Por exemplo, no Fedora, pressione Ctrl+Alt+Fl (ou F2, F3, F4 e assimpor diante 
ate F7 na maioria dos sistemas Linux) para exibir um dos sete consoles virtuais. O primeiro espaęo de 
trabalho virtual no Fedora e onde a interface grafica esta e os seis consoles yirtuais seguintes sao 
consoles yirtuais baseados em texto. \bce pode yoltar para a interface grafica (se estiver em execuęao), 
pressionando Ctrl+Alt+Fl. (Emalguns sistemas, a interface grafica roda no console yirtual 7 ou 5. 
Portanto, voce deve yoltar a interface grafica, pressionando Ctrl+Alt+F5 ou Ctrl+Alt+F7). 

Experimente isso agora. Segure as teclas Ctrl+Alt e pressione F3. \bce devera ver umprompt de login 
emtexto simples. Faęa login usando seunome de usuario e senha. Experimente alguns comandos. Quando 
terminar, digite exit para sair do shell. Entao, pressione Ctrl+Alt+Fl para yoltar para sua interface de 
desktop grafica. \bce pode ir e yoltar liyremente entre esses consoles graficos. 


EscolhendoSeu Shell 


Na maioria dos sistemas Linux, o shell padrao e o shell bash. Para descobrir qual e seu shell de login 
padrao, digite os seguintes comandos: 

$ who am i 

Chris pts/0 2011-11-26 07:19 (:0.0) 

$ grep chris /etc/passwd 

cnegus:x:13597:13597:Chris Negus:/home/cnegus:/bin/bash 


O comando who am i exibe seunome de usuario e o comando grep (substituindo chris pelo seu 
nome) exibe a definięao de sua conta de usuario no arquivo /etc/password. O ultimo campo nessa 
entrada exibe que o shell bash (/bin/bash)eo shell padrao (aquele que inicia quando voce faz login 
ou abre uma janela de terminal). 

E possiyel, embora nao provavel, que voce tenha um conjunto padrao de shells diferente. Para tentar um 
shell diferente, basta digitar o nome do shell (exemplos incluem ksh, tcsh, csh, sh, dash e outros, 
assumindo que eles estao instalados). \bce pode experimentar alguns comandos nesse shell e digitar exit 
quando terminar para yoltar ao shell bash. 

\bce pode optar por usar shells diferentes, pelas seguintes razóes: 




■ \bce esta acostumado a usar sistemas UNIX System V (muitas vezes ksh por padrao) ou Sun 

Microsystems e outras distribuięóes baseadas no UNIX Berkeley (freąuentemente csh por 
padrao) e voce se sente mais a vontade usando shells padrao a partir desses ambientes. 

■ \bce deseja executar Scripts de shell que foram criados para um ambiente de shell especifico e 

precisa executar o shell para o qual eles foram feitos a firn de poder testar ou usar esses Scripts 
em seu shell atual. 

■ \bce simplesmente prefere os recursos de um shell aos dos outros. Por exemplo, ummembro do 

meu grupo de usuarios do Linux prefere ksh ao bash, porque nao gosta do modo como os 
aliases sao usados como bash. 

Embora a maioria dos usuarios do Linux prefira um shell ou outro, quando voce sabe como usar um shell, 
voce pode aprender rapidamente qualquer um dos outros consultando ocasionalmente a pagina man do 
shell (por exemplo, digite man bash). As paginas man (descritas mais adiante na seęao “Obtendo 
Informaęóes sobre os Comandos”) fornecem a documentaęao para os comandos, formatos de arquivos e 
outros componentes no Linux. A maioria das pessoas usa o bash só porque nao tern um motivo especial 
para usar um shell diferente. O resto desta seęao descreve o shell bash. 

O Bashinclui recursos originalmente desenvolvidos para os shells sh e ksh nos primeiros sistemas 
UNIX, bemcomo alguns recursos do csh. Espere ver o bash como o shell padrao na maioria dos 
sistemas Linux que voce usar, com a exceęao de alguns sistemas Linux especializados (como alguns que 
sao executados em dispositivos embarcados) que podem exigir um shell menor que precisa de menos 
memória e requer menos recursos. A maioria dos exemplos neste capitulo se baseia no shell bash. 


:a 

a pena conhecer o shell bash, nao só porque ele e o padrao na maioria das instalaęóes, mas tambem porque e o 
\ioce vai usar na maioria dos exames de certificaęao do Linux. 


Executando comandos 


A maneira mais simples de executar um comando e simplesmente digitar o nome do comando a partir de 
um shell. A partir da area de trabalho, abra urna janela de terminal. Entao, digite o seguinte comando: 

$ datę 

Sat Nov 26 08:04:00 EST 2011 

O comando datę, semopęóes ou argumentos, exibe dia, mes, data, hora, fuso horario e ano como no 
exemplo acima. Eis alguns comandos que voce pode experimentar: 

$ pwd 

/home/chris 
$ hostname 
myde slccop 

$ ls 

Desktop Downloads Pictures Teir.plate3 
Documents Musie Public Yidecs 







O comando pwd exibe o diretório de trabalho atual. O comando hostname exibe o nome de host do seu 
computador. O comando ls lista os arquivos e diretórios no diretório atual. Embora muitos comandos 
possam ser executados simplesmente digitando seus nomes , e mais comum digitar mais após o comando 
para modificar seu comportamento. Os caracteres e palavras que voce pode digitar depois de um 
comando sao chamados de opęóes e argumentos. 


Entendendo a sintaxe de comando 

A maioria dos comandos tern urna ou mais opęóes que voce pode adicionar para mudar o comportamento 
deles. Emgeral, as opęóes consistem em urna unica letra, precedida por umhlfen. Mas voce pode agrupar 
opęóes de urna letra ou preceder cada urna com um hifen, para usar mais de urna opęao de cada vez. Por 
exemplo, os dois seguintes usos de opęóes para o comando ls sao os mesmos: 

$ ls -1 -a -t 
$ ls -lat/ 

Emambos os casos, o comando ls e executado com as opęóes -1 (listagemlonga) -a (exibe arquivos 
de ponto ocultos) e -t (lista por tempo). 

Alguns comandos incluem opęóes que sao representados por urna palavra inteira. Para instruir um 
comando a usar urna palavra inteira como urna opęao, voce geralmente a precede comum hifen duplo (-- 
). Por exemplo, para usar a opęao de ajuda em muitos comandos, voce digita --help na linha de 
comando. Semo hifen duplo, as letras h, e, 1 e p devemser interpretadas como opęóes separadas. (Ha 
alguns comandos que nao seguem a conyenęao de hifen duplo, usando um unico hifen antes de urna 
palayra, mas a maioria dos comandos usara hifens duplos para as opęóes de palayras.) 


ta 

pode usara opęao - -help com a maioria dos comandos para veras opęóes e argumentos que eles suportam: 
‘xemplo, experimente digitar hostname --help. 


Muitos comandos tambem aceitam argumentos depois que certas opęóes sao inseridas ou no finał da linha 
de comando inteira. Um argumento e um fragmento extra de informaęóes, como um nome de arquivo, 
diretório, nome de usuario, dispositivo ou outro item que informa ao comando o objęto sobre o qual ele 
deve atuar. Por exemplo, cat /etc/passwd exibe o conteudo do arquivo /etc/pass wd emsua 
tela. Nesse caso, /etc/pass wdeo argumento. Emgeral, voce pode ter quantos argumentos quiser, 
limitado apenas pelo numero total de caracteres permitidos em urna linha de comando. 

Ha casos em que um argumento esta associado a urna opęao. Nesses casos, o argumento deve ser 
imediatamente seguido da opęao. Com opęóes de urna unica letra, o argumento geralmente vem depois de 
umespaęo. Para opęóes de urna palayra, o argumento muitas vezes vem depois de umsinal de igual (=). 
Eis alguns exemplos: 






$ ls —hide=DesJctop 
Documents Musie Public 

Downloads Pictures Tenplates 


Videos 


No exemplo anterior, a opęao --hide instrui o comando ls a nao exibir o arquivo ou diretório 
chamado Desktop ao listar o conteudo do diretório. Notę que o sinal de igual vemimediatamente 
depois da opęao (semespaęo) e, entao, o argumento (novamente, semespaęo). 

Eis um exemplo de urna opęao de urna unica letra que e seguida por um argumento: 

$ tar -cvf backup.tar /home/chris 

No exemplo do comando tar anterior, as opędes instruem o comando a criar (c) um arquivo (f) chamado 
backup.tar que inclui todo o conteudo do diretório /home/chris e seus subdiretórios e exibe 
mensagens verbosas (v) conforme o backup e feito. Como backup . tar e um argumento para a opęao 
f, backup .tar deve vir imediatamente após a opęao. 

Eis alguns comandos que voce pode experimentar. Veja como eles se comportamde maneira diferente 
com diferentes opędes: 


S ls 

Desktop Eocuments Downloads Muai: Pictures Public Templates Videos 
$ ls -a 

. Desktop .gnome£ _p rivate .leashst Public 

.. Dorusents .gnote .local Templates 

.bash_history Download- .gnupg .mosilla Videos 

.bash_logout .emaes . gstreamer-O . 10 Musie . Jtsessior.-errors 

.bash_profile .esd_auth .gtk~bookmarks Pictures .sshrc 

.bashrc .fsync.log .gvfs Pictures 

$ uneune 
Linux 

$ unane -a 

Lir.UK myhost.example.com 2.6.32~131.17.1. ei€ . x8€_64 #1 SMP Thu Sep 29 
10:24:25 EDT 2011 x5€_€4 x86_€4 x8€_64 SNU/LinuxLinux 

$ datę 

Sur. Dec 4 09:08:38 E3T 2011 
S datę +'%d/%»/%y' 

04/12/11 

S datę + '%A, %B %d, %Y' 

Sunday, Decenber 04, 2011 

O comando ls, por si só, exibe todos os arquivos e diretórios regulares no diretório atual. Ao adicionar 
-a, voce tambem pode ver os arquivos ocultos no diretório (aqueles comeęando comumponto). O 
comando uname exibe o tipo de sistema que esta rodando (Linux). Quando voce adiciona -a, tambem 
pode ver o hostname, a compilaęao e a versao do kernel. 

O comando datę tern alguns tipos especiais de opędes. Por si só, datę simplesmente imprime a data e 
a hora atuais, como mostrado acima. Mas o comando datę suporta urna opęao + de fermato especial, 
que permite exibir a data emdiferentes formatos. Digite datę --help para ver os diferentes 
indicadores de fermato que voce pode usar. 

Experimente os comandos id e who para ter urna ideia do seu ambiente atual do Linux, como descrito 
nos paragrafos a seguir. 

Quando voce efetua login em um sistema Linux, ele ve voce como tendo urna identidade particular, o que 
inclui seu nome de usuario, o nome do seu grupo, seu ID de usuario e seu ID do grupo. O Linux tambem 
monitora sua sessao de login: sabe quando voce fez login, quanto tempo o computador esta inativo e onde 





voce se conectou. 

Para saber informaęóes sobre sua identidade, use o comando id da seguinte maneira: 

$ id 

uid=501(chris) gid=501(chris) groups = 105 (sales), 7 (lp) 

Nesse exemplo, o nome de usuario e chris, o qual e representado pela identificaęao numerica de 
usuario (uid) 5 01.0 grupo primario de chris tambem se chama chris, seu ID de grupo (gid) e 501. E 
normal para usuarios do Fedora e do Red Hat Enterprise Linux ter o mesmo nome de grupo primario que 
seu nome de usuario. O usuario chris tambempertence a outros grupos chamados sales (gid 105) e 
lp (gid 7). Esses nomes e numeros representam as permissóes que chris tern para acessar os recursos do 
computador. 


ta 

ibuięóes Linux que tenham Security Enhanced Linux (SELinux) ativado, como o Fedora e RHEL, mostram 
maęoes adicionais no finał da saida id. Essa saida deve ser algo como o seguinte: 

context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 

tioria dos usuarios nao precisa se preocupar com o SELinux, a menos que eles estejam configurando servidores. 
>ulte o Capitulo 24, “Aumentando a seguranęa do Linux com SELinux”, se quiser saber mais sobre o SELinux. 


\bce pode ver informaęóes sobre sua sessao atual usando o comando who. No exemplo a seguir, a opęao 
-u diz para adicionar informaęóes sobre o tempo ocioso e o ID do processo -H pede que umcabeęalho 
seja impresso: 

$ who -uH 

MAMĘ LINĘ TIME IDLE PID COMMENT 

chris ttyl Jan 13 20:57 . 2013 


A saida desse who mostra que o usuario chris esta logado no ttyl (que e o primeiro console virtual 
no monitor conectado ao computador) e sua sessao de login comeęou as 20:57 em 13 de janeiro. O tempo 
IDLE mostra quanto tempo o shell ficou aberto semqualquer comando ser digitado (o ponto indica que 
ele esta ativo no momento).PID mostra o ID do processo do shell de login do usuario. COMMENT iria 
mostrar o nome do computador remoto de onde o usuario teria se logado, caso isso acontecesse a partir 
de outro computador da rede, ou o nome do display X local se o usuario estivesse usando urna janela de 
terminal (por exemplo: 0,0 ). 


Localizando comandos 

Agora que ja digitou alguns comandos, talvez voce esteja querendo saber onde eles estao localizados e 
como o shell encontra esses comandos digitados. Para localizar comandos que voce digita, o shell 
procura no que e chamado de “caminho” (path ). Para comandos que nao estao em seu caminho, voce 






pode digitar a identidade completa da localizaęao deles. 

Se voce sabe o diretório que contemo comando que deseja executar, uma maneira de executa-lo e digitar 
o caminho completo, ou absoluto, para o comando. Por exemplo, voce executa o comando datę do 
diretório /bin, digitando 

$ /bin/date 

Obviamente isso pode ser inconveniente, especialmente se o comando reside em um diretório com um 
caminho longo. A melhor maneira e ter comandos armazenados em diretórios bem conhecidos e depois 
adiciona-los para a variavel de ambiente PATH do seu shell. O caminho consiste emuma lista de 
diretórios emque os comandos que voce insere sao verificados sequencialmente. Para ver seu caminho 
atual, digite o seguinte: 

$ echo $PATH 

/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/sbin: 
/home/cn/bin:/sbin 

Os resultados exibem um caminho padrao comum para um usuario normal do Linux. Os diretórios na lista 
de caminho sao separados por dois-pontos. Amaioria dos comandos do usuario que vemcomLinux sao 
armazenadas nos diretórios /bin, /usr/bin ou /usr/local/bin. Os diretórios /sbin e 
/usr/sbin contemcomandos administrativos (alguns sistemas Linuxnao colocamesses diretórios em 
caminhos de usuarios regulares). O ultimo diretório mostrado e o bin no diretório home do usuario. 


la 

Dce quiseradicionarseus próprios comandos ou Scripts shell, coloque-os no diretório bin no seu diretório inicial 
o /home/cn/bin para o usuario chamado cn). Esse diretório e automaticamente adicionado ao seu 
nho em alguns sistemas Linux, embora possa ser necessario que voce crie esse diretório ou adicione-o ao seu 
H em outros sistemas Linux. Entao, se voce adicionar o comando para o diretório bin com permissao de 
uęao, pode comeęara usa-losimplesmente digitando o nome do comando no promptdoseu shell. Para tornaros 
andos disponiveis para todos os usuarios, adicione-os em /usr/local/bin bin. 


Ao contrario de alguns outros sistemas operacionais, por padrao, o Linux nao verifica o diretório atual 
para um arquivo executavel antes de procurar o caminho. Ele imediatamente comeęa a procurar o 
caminho, e executaveis no diretório atual sao executados somente se eles estiveremna variavel PATH ou 
voce der o endereęo absoluto (como /home/chris/scriptx . sh) ourelativo (por exemplo, 

. /scriptx . sh) deles. 

Aordemdo diretório de caminho e importante. Os diretórios sao verificados da esquerda para a direita. 
Assim, nesse exemplo, se houver um comando chamado foo localizado emambos os /bin e 
/usr/bin diretórios, o que esta em /bin e executado. Para executar outro comando foo, digite o 
caminho completo para o comando ou altere sua variavel PATH. (Alterar seu PATH e adicionar 
diretórios para ele sao descritos mais adiante neste capitulo.) 






Nemtodos os comandos que voce executa estao localizados emdiretórios emsua variavel PATH. Alguns 
comandos estao predefinidos no shell. Outros comandos podem ser anulados criando aliases que definem 
quaisquer comandos e opęóes que voce quer que o comando execute. Ha tambem maneiras de definir urna 
funęao que consiste emuma serie armazenada de comandos. Eis a ordememque o shell verifica os 
comandos digitados: 

1 - Aliases. Nomes definidos pelo comando alias que representam um determinado comando 
e umconjunto de opęóes. Digite alias para ver quais aliases estao definidos. Muitas vezes, 
os aliases permitem que voce defina um nome curto para um comando longo e complicado. 
(Descrevo como criar seus próprios aliases mais adiante neste capitulo.) 

2 - Palavra reservada do shell. Palavras reservadas pelo shell para uso especial. Muitas 
dessas sao palavras que voce usaria na funęao de digitaęao de programaęao, como do, 
while, case e else. (Abordaremos algumas dessas palavras reservadas no Capitulo 7, 
“Escrevendo Scripts de shell simples.”) 

3 - Funęao. Umconjunto de comandos que sao executados juntos no shell atual. 

4 - Comando predefinido. Um comando predefinido no shell. Como resultado, nao ha nenhuma 
representaęao do comando no sistema de arquivos. Alguns dos comandos mais comuns que 
voce vai usar sao os de shell predefinidos, tais como cd (para mudar de diretórios), echo 
(para a saida de texto para a tela), exit (para sair de um shell), fg (para trazer um 
comando executado emsegundo piano para o primeiro piano), history (para ver urna 
lista de comandos que foram executados anteriormente), pwd (para listar o diretório de 
trabalho atual), set (para definir as opędes de shell) e type (para exibir a localizaęao de 
um comando). 

5 - Comando do sistema de arquivos. Esse comando e armazenado e executado dentro do 
sistema de arquivos do computador. (Esses sao os comandos que sao indicados pelo valor 
da variavel PATH.) 

Para saber de onde um determinado comando e retirado, voce pode usar o comando type. (Se voce 
estiver usando um shell que nao seja bash, use o comando which.) Por exemplo, para descobrir onde o 
comando shell bash esta localizado, digite o seguinte: 

$ type bash 

bash is /bin/bash 

Experimente essas poucas palavras como comando type para ver outros locais dos comandos: que, 
which, case e return Se um comando reside emvarios locais, voce pode adicionar a opęao -a para 
obter todos os locais conhecidos do comando. Por exemplo, o comando type -a ls deve mostrar um 
alias e localizaęao do sistema de arquivos para o comando ls 


:a 

izes voce executa um comando e recebe urna mensagem de erro informando que o comando nao foi localizado 
ue a permissao para executa-lo foi negada. Se o comando nao foi encontrado, verifique se voce digitou-o 






itamente e se esta localizado na sua variavel path. Se a permissao para executar o comando foi negada, ele 
i estar na variavel PATH, mas pode nao ser executavel. Lembre-se tambem que o uso de maiuscula ou 
iscula e importante, porisso, se digitarCAT ou Catnao vai encontrar o comando cat. 


Se um comando nao esta na sua variavel PATH, voce pode usar o comando locate para tentar 
encontra-lo. Usando locate, e possivel pesąuisar qualquer parte do sistema que seja acessivel para 
voce (alguns arquivos sao acessiveis apenas para o usuario root). Por exemplo, se quisesse encontrar a 
localizaęao do comando chage, voce pode digitar o seguinte: 

$ locate chage 

/usr/bin/chage 
/usr/sbin/1chage 

/ust/ share/man/ f r/manl/chage.1.gz 
/usr/share/man/it/mani/chage.1.gz 
/usr/share/man/j a/mani/chage.1.gz 
/usr/share/man/mani/chage.1.gz 
/usr/share/man/mani/Ichage.1.gz 
/usr/share/man/pl/mani/chage.1.gz 
/usr/share/man/ru/mani/chage.1.gz 
/usr/share/man/sv/mani/chage.1.gz 
/usr/share/man/tr/manl/chage.1.gz 

Observe que locate nao só encontrou o comando chage, mas tambemencontrou o comando lchage 
e urna variedade de paginas man associadas com chage para diferentes idiomas. O comando locate 
procura emtodo seu sistema de arquivos e nao apenas emdiretórios que contem comandos. 

Nos próximos capitulos, voce aprendera a usar comandos adicionais. Por enquanto, quero que voce se 
familiarize com a maneira como o shell em si funciona. Entao, discuto em seguida os recursos para 
lembrar e completar comandos, utilizar variaveis e criar aliases. 


Lembrando comandos com o histórico de comandos 


Ser capaz de repetir um comando que voce executou anteriormente em urna sessao de shell pode ser 
conveniente. As vezes, urna linha de comando e muito longa e complexa e poder recupera-la a partir de 
urna sessao anterior pode poupar alguns problemas. Felizmente, alguns recursos do shell permitem 
recuperar e editar linhas de comandos anteriores, ou completar urna linha de comando parcialmente 
digitada. 

O histórico do shell e urna lista dos comandos que voce inseriu anteriormente. Usando o comando 
history emum shell bash, e possivel ver seus comandos anteriores. Assim, utilizando varios 
recursos de shell, voce pode chamar novamente linhas de comando individuais a partir dessa lista e 
altera-las como preferir. 

O restante desta seęao descreve como editar a linha de comando, como completar partes das linhas de 







comando e como chamar novamente e trabalhar com a lista de histórico. 


Edięao da linha de comando 

Se voce digitar algo errado em urna linha de comando, o shell bash garante que voce nao tern que apagar 
toda a linha e comeęar de novo. Da mesma forma, voce pode chamar urna linha de comando previa 
novamente e alterar os elementos para criar um novo comando. 

Por padrao, o shell bash usa edięao de linha de comando que e baseada no editor de texto emacs. (Digite 
man emacs para ler sobre isso, se isso lhe interessar.) Se estiver familiarizado como emacs, voce 
provavelmente ja conhece a maioria das teclas de atalho descritas aqui. 


ia 

referir o comando vi para editar linhas de comando de shell, voce pode fazer isso facilmente. Adicione a 
inte linha ao arquivo . bashrc no seu diretório inicial: 

et -o vi 

róxima vez que abrir um shell, voce pode usar os comandos vi para editar as suas linhas de comando. 


Para fazer a edięao, voce pode utilizar urna combinaęao de teclas control, teclas meta e teclas de seta. 

Por exemplo, Ctrl+F significa segurar a tecla Ctrl e pressionar f. Alt+F significa segurar a tecla Alt e 
pressionar f. (Em vez da tecla Alt, o teclado pode usar urna tecla Meta ou a tecla Esc. Emumteclado 
Windows, voce pode usar a tecla Windows.) 

Para experimentar umpouco de edięao de linha de comando, digite o seguinte: 

$ ls /usr/bin | sort -f | less 

Esse comando lista o conteudo do diretório /usr/bin, classifica-o em ordem alfabetica 
(independentemente do caso) e redireciona a saida para less . O comando less exibe a primeira 
pagina de saida, após a qual voce pode ir atraves do resto da saida urna linha (pressione Enter) ou urna 
pagina (pressione a barra de espaęo) de cada vez. Basta pressionar q quando terminar. Agora, suponha 
que voce queira mudar /usr/bin para /bin. Abce pode usar as etapas a seguir para alterar o 
comando: 

Pressione a tecla da seta para cima (). Isso exibe o comando mais recente de seu histórico 
shell. 

2 - Pressione Ctrl+A. Isso move o cursor para o inicio da linha de comando. 

3 - Pressione Ctrl+F ou a tecla de seta para a direita (). Repita esse comando algumas vezes 
para posicionar o cursor sob a primeira barra (/). 

4 - Pressione Ctrl+D. Repita esse comando quantas vezes for necessario para eliminar /usr 
da linha. 






5 - Pressione Enter. Isso executa a linha de comando. 


A medida que edita uma linha de comando, voce pode digitar caracteres regulares para adiciona-los a ela 
a qualquer momento. Os caracteres aparecem no local do cursor de texto. \bce pode usar as teclas de 
seta para a direita e para a esquerda a fim de mover o cursor ao longo da linha de comando. \bce 
tambem pode pressionar as teclas de seta para cima e para baixo a fim de percorrer os comandos 
anteriores na lista do histórico e assim selecionar uma linha de comando para edięao. (Veja a 
“Recuperaęao de linhas de comando” para obter detalhes sobre como recuperar comandos da lista de 
histórico.) 

Ha muitas combinaęóes de teclas que voce pode usar para editar suas linhas de comando. A Tabela 3.1 
lista as teclas que voce pode usar para se mover ao longo da linha de comando. 


TABELA 3.1 Teclas de atalho para navegar pelas linhas de comando 


la 

Nomecompleto 

Significado 

1+F 

Caractere para frente 

Move o cursor um caractere para frente. 

1+B 

Caractere para tras 

Move o cursor um caractere para tras. 

+F 

Palavra para frente 

Move o cursor uma palavra para frente. 

+B 

Palavra para tras 

Move o cursor uma palavra para tras. 

1+A 

Inicio da linha 

Move o cursor para o inicio da linha atual. 

1+E 

Fim da linha 

Move o cursor para o finał da linha atual. 

1+L 

Limpar tela 

Limpa a tela e move o cursor para a parte superior 
esąuerda da tela. 

Acombinaęao de teclas na Tabela 3.2 pode ser usada para editar linhas de comando. 

TABELA 3.2 

Tecla de atalho para editar linhas de comando 

la de atalho 

NomeCompleto 

Significado 

1+D 

Excluir atual 

Exclui o caractere atual. 

zkspace 

Excluir anterior 

Exclui o caractere anterior. 

1+T 

Transpor caractere 

Troca de posięao entre o caractere anterior e o atual. 

+T 

Transpor palavras 

Troca de posięao entre as palavras atuais e as 
anteriores. 

+U 

Palavra em maiuscula 

Converte os caracteres da palavra atual em letras 
maiusculas. 

+L 

Palavra em minuscula 

Converte os caracteres da palavra atual em letras 
minusculas. 

+C 

Palavra com inicial maiuscula 

Converte o caractere inicial da palavra atual em letra 
maiuscula. 

1+V 

Inserir caractere especial 

Adiciona um caractere especial. Por exemplo, para 





















adicionar um caractere de tabulaęao, pressione 
Ctrl+V+Tab. 


Use as teclas na Tabela 3.3 para cortar e colar texto emuma linha de comando. 

TABELA 3.3 Teclas para cortar e colar texto em linhas de comando 


ladeatalho 

NomeCompleto 

Significado 

1+K 

Corta fim da linha 

Recorta o texto no finał da linha. 

1+U 

Corta o inicio da linha 

Recorta o texto no inicio da linha. 

1+W 

Corta a palavra anterior 

Recorta a palavra localizada antes do cursor. 

+D 

Corta a próxima palavra 

Recorta a palavra após o cursor. 

1+Y 

Cola texto recente 

Cola o texto mais recentemente recortado. 

+Y 

Cola texto anterior 

Volta ao texto previamente recortado e cola-o. 

1+C 

Exclui a linha inteira 

Exclui a linha inteira. 


Completamento de linha de comando 

Para poupar algumas teclas, o shell bash oferece varias maneiras de completar os valores parcialmente 
digitados. Para tentar completar umvalor, digite os primeiros caracteres e entao pressione Tab. Eis 
alguns dos valores que voce pode digitar parcialmente a partir de um shell bash: 

■ Comando, alias, ou funęao — Se o texto digitado comeęa com caracteres regulares, o shell tenta 

completar o texto com um comando, um alias ou um nome de funęao. 

■ Variavel — Se o texto digitado comeęa comum cifrao ($), o shell completa-o com urna variavel 

do shell atual. 

■ Nome de usuario — Se o texto digitado comeęa comumtil ~, o shell completa-o comum nome de 

usuario. Como resultado, 'username indica o diretório home do usuario chamado. 

■ Hostname — Se o texto digitado comeęa com um sinal de arroba (@), o shell completa-o com um 

hostname extraido do arquivo /etc/hosts. 


a 

adicionar nomes de maquinas a partir de um arquivo adicional, voce pode definir a variavel HOSTFILE ao 
;doarquivo. Oarquivodeve estarno mesmoformato do /etc/hosts. 


Eis alguns exemplos da conclusao de comando. (Quando voce vir <Tab>, isso significa pressionar a tecla 
Tab no teclado.) Digite o seguinte: 


$ echo $OS<Tab> 
















$ cd ~ro<Tab> 

$ fing <Tab> 

O primeiro exemplo faz comque $OS expanda-se para a variavel $OSTYPE. No próximo exemplo, ~ro 
expande-se para o diretório inicial do usuario root (~ root/). Entao, fing expande-se para o comando 

f inger. 

Pressionar Tab duas vezes oferece algumas possibilidades maravilhosas. Ha momentos emque estao 
dispomveis varias conclusóes possiveis para a seąuencia de caracteres digitada. Nesses casos, voce 
pode verificar as maneiras como o texto pode ser expandido pressionando Tab duas vezes no ponto em 
que voce quer completar o código. 

O que vema seguir mostra o resultado que voce obteria se verificasse as possiveis conclusóes sobre $P: 

$ echo $P<TabXTab> 

$PATH $PPID $PS1 $PS2 $PS4 $PWD 
$ echo $P 

Nesse caso, existemseis possiveis variaveis que comeęamcom $P. Depois que as possibilidades sao 
exibidas, a linha de comando original retorna, pronta para ser completada como voce escolher. Por 
exemplo, se voce digitou um outro P e depois bateu Tab novamente, a linha de comando seria completada 
com $PPID (a unica possibilidade exclusiva). 

Recuperaęao de linhas de comando 

Depois de digitar urna linha de comando, ela inteira e salva na lista de histórico do seu shell. A lista e 
armazenada no shell atual ate voce sair dele. Depois disso, ela e gravada emumarquivo de histórico, a 
partir do qual qualquer comando pode ser recuperado para ser executado novamente na sua próxima 
sessao. Depois que um comando e recuperado, voce pode modificar a linha de comando, como descrito 
anteriormente. 

Para ver seu histórico, use o comando history. Digite o comando semopęóes ou seguido por um 
numero para os comandos mais recentes. Por exemplo: 

$ history 8 

382 datę 

383 ls /usr/bin | sort -a | morę 

384 man sort 

385 cd /usr/local/bin 

386 man morę 

387 useradd -m /home/chris -u 101 chris 

388 passwd chris 

389 history 8 

Um numero precede cada linha de comando na lista. Vbce pode recuperar um desses comandos usando um 
ponto de exclamaęao (!). Tenha emmente que, ao usar um ponto de exclamaęao, o comando roda 
cegamente, sem lhe dar urna oportunidade para confirmar o comando que voce esta referenciando. Ha 



varias maneiras de executar umcomando imediatamente a partir dessa lista, incluindo as seguintes: 

■ ! n — Executa o numero de comando. Substitua o n pelo numero da linha de comando e essa 
linha e executada. Por exemplo, aqui esta como repetir o comando datę indicado como numero 
de comando 382 na listagemdo histórico anterior: 

$ ! 382 

datę 

Fri Oct 29 21:30:06 PDT 2011 

■ ! ! — Executar comando previous. Executa a linha de comando anterior. Veja como voce iria 
imediatamente executar o mesmo comando datę 

$ ! ! 

datę 

Fri Oct 29 21:30:39 PDT 2012 

■ ! ? string? - Executa o comando que contema string. Isso executa o comando mais recente que 
contemuma determinada string de caracteres. Por exemplo, voce pode executar o comando datę 
novamente apenas procurando por parte dessa linha de comando da seguinte maneira: 

$ !?dat? 

datę 

Fri Oct 29 21:32:41 PDT 2011 

Emvez de apenas executar urna linha de comando history imediatamente, voce pode lembrar de urna 
determinada linha e edita-la. \hce pode usar as seguintes teclas ou combinaęóes de teclas para fazer isso, 
como exibe a Tabela 3.4. 


TABELA 3.4 Combinaęoes de Tecla para Usar o Histórico de Comandos 


la(s) 

Nome da funęao 

Descrięao 

:las de seta (t e 

Passo a passo 

Pressione as teclas de seta para cima e para bako a 
firn de percorrer cada linha de comando em sua lista 
de histórico para chegar ao que voce deseja. (Ctrl+P e 
Ctrl+N fazem as mesmas funęoes, respectivamente.) 

1+R 

Pesąuisa incremental inversa 

Depois de pressionar essas teclas, voce insere urna 
string de pesąuisa para fazer urna pesąuisa inversa. A 
medida que digita a string, aparece urna linha de 
comando correspondente que voce pode executar ou 
editar. 

1+S 

Pesąuisa incremental para frente 

O mesmo que a funęao anterior, mas procura para 
frente. (Isso pode nao funcionar em todos os casos.) 

+P 

Pesąuisa inversa 

Depois de pressionar essas teclas, voce insere urna 
string de pesąuisa para fazer urna pesąuisa inversa. 
Digite urna string e pressione Enter para ver a linha de 
comando mais recente que inclui essa string. 

+N 

Pesąuisa para frente 

O mesmo que a funęao anterior, mas procura para 









frente. (Isso pode nao funcionar em todos os casos.) 


Outra maneira de trabalhar coma sua lista de histórico e usar o comando f c. Digite f c seguido de um 
numero de linha do histórico e essa linha de comando e aberta emum editor de texto (vi por padrao, 
digite : wq para salvar e sair ou : q! para simplesmente sair se voce empacar no vi). Faęa as alteraęóes 
que voce quer. Quando voce sai do editor, o comando e executado. Voce tambem pode dar um intervalo 
de numeros de linha (por exemplo, fc 100 105). Todos os comandos sao abertos no seueditor de 
textos e entao executados um depois do outro quando voce encerra o editor. 

Depois de fechar seu shell, a lista de histórico e armazenado no . bash history em seu diretório 
home. Por padrao, ate 1.000 comandos sao armazenados no histórico para voce. 


ta 

mas pessoas desativam o recurso de histórico para o usuario root, definindo o histfile para /dev/null 
implesmente deixando histsize em branco. Isso evita que informaęóes sobre as atividades do usuario root 
n potencialmente exploradas. Se voce e um usuario administrativo com privilegios de root, voce tambem pode 
erconsiderara possibilidade de esvaziarseu arquivo ao sair, pelas mesmas razóes. Alem disso, como o histórico 
heli e armazenado permanentemente quando ele e fechado corretamente, voce pode impedir que o histórico do 
seja armazenado, eliminando um shell. Por exemplo, para matar um shell com o processo de ID 1234, voce 
akill -9 1234 a partirdequalquershell. 


Conectando e expandindo comandos _ 

Um recurso verdadeiramente poderoso do shell e a capacidade de redirecionar a entrada e saida de 
comandos para e de outros comandos e arquivos. Para permitir agrupar comandos, o shell utiliza 
metacaracteres. Um metacaractere e umcaractere digitado que tern um significado especial para o shell 
para conectar comandos ou solicitar expansao. 

Metacaracteres incluemo caractere de barra yertical ou pipę (|), o “e” comercial (&), ponto e virgula 
(;), parentese direito ( ) ), parentese esquerdo ( ( ), sinal de menor que (<) e maior que (>). As 
próximas seęóes descrevem como usar metacaracteres na linha de comando para mudar a maneira como 
os comandos se comportam. 


Redirecionamento entre os comandos 

O metacaractere de redirecionamento (|) conecta a saida de um comando a entrada de outro comando. 
Isso permite que voce tenha um comando funcionando sobre alguns dados e, entao, o próximo comando 
lidando com os resultados. Eis umexemplo de urna linha de comando que inclui barras verticais: 

$ cat /etc/passwd | sort | less 


Esse comando lista o conteudo do arquivo /etc/passwd e redireciona a saida para o comando sort. 








O comando sort leva os nomes que comeęamcada linha do arquivo /etc/passwd, classificando-os 
em ordem alfabetica, e redireciona a saida para o comando less (para a pagina por meio da saida). 

As barras verticais sao uma excelente ilustraęao de como o UNIX, o predecessor do Linux, foi criado 
como um sistema operacional composto de blocos de construęao. Uma pratica padrao no UNIX era 
conectar utilitarios de maneiras diferentes para realizar trabalhos. Por exemplo, antes dos processadores 
de texto graficos, os usuarios criavam arquivos de texto simples que inclulam macros para indicar a 
formataęao. Para ver como o documento realmente aparecia, eles utilizavam um comando como o 
seguinte: 

$ gunzip < /usr/share/man/manl/grep.1.gz | nroff -c -man | less 

Nesse exemplo, o conteudo da pagina man grep (grep . 1. gz) e direcionado para o comando gunzip 
a ser extraido. A saida de gunzip e redirecionada para o comando nroff para formatar a pagina man 
usando a macro manuał (-man). A saida e redirecionada para o comando less para exibir a saida. 
Como o arquivo que esta sendo exibido esta em texto simples, voce poderia ter substituido qualquer 
numero de opęóes para trabalhar com o texto antes de exibi-lo e tambem classificar, alterar ou excluir 
algum conteudo ou criar texto de outros documentos. Achave e que, emvez de todos esses recursos 
estarem em um programa, voce obtem resultados a partir do redirecionamento da entrada e saida entre 
varios comandos. 

Comandos sequenciais 

Eventualmente voce pode querer que uma sequencia de comandos seja executada, com um comando 
sendo completado antes de o comando seguinte comeęar. \bce pode fazer isso digitando varios comandos 
na mesma linha de comando e separando-os componto e virgulas (;): 

$ datę ; troff -me verylargedocument | lpr ; datę 

Nesse exemplo, eu estava formatando um documento enorme e quis saber quanto tempo isso levaria. O 
primeiro comando (datę) exibiu a data e hora antes de a formataęao ter comeęado. O comando troff 
formatou o documento e depois redirecionou a saida para a impressora. Quando a formataęao terminou, a 
data e a hora foram impressas novamente (entao eu sabia quanto tempo o comando troff levou para 
completar). 

Outro comando util para adicionar ao finał de uma longa linha de comando email. \bce pode adicionar 
o seguinte ao finał de uma linha de comando: 

; mail -s "Finished the long command" chris@example.com 

Assim, por exemplo, uma mensagem de e-mail e enviada para o usuario que voce escolher, após a 
conclusao do comando. 


Comandos em segundo piano 



Alguns comandos podemdemorar umpouco para serem concluidos. As vezes voce talvez nao queira que 
seu shell espere que umcomando termine. Nesses casos, voce pode fazer os comandos executaremem 
segundo piano, usando o E comercial (&). 

Comandos de formataęao de texto (como nrof f e trof f, descrito anteriormente) sao exemplos 
frequentemente executados em segundo piano para formatar umdocumento grandę. \bce tambempode 
criar seus próprios Scripts que sao executados em segundo piano para verificar continuamente por certos 
acontecimentos, como o disco rigido encher ou usuarios especificos efetuarem login. 

Eis um exemplo de um comando a ser executado em segundo piano: 

$ troff -me verylargedocument | lpr & 

Nao feche o shell ate que o processo seja concluido, ou ele sera destruido. Outras maneiras de gerenciar 
processos em execuęao em primeiro e segundo planos sao descritas no Capitulo 6, “Gerenciando 
processos emexecuęao”. 

Expandindo comandos 

Coma substituięao de comando, voce pode ter a saida de umcomando interpretada pelo shell emvez de 
pelo próprio comando. Dessa maneira, voce pode tornar a saida padrao de um comando em um 
argumento para outro comando. As duas maneiras de substituięao de comando sao $ (comando) e 
'comando' (crases, nao aspas simples). 

O comando nesse caso pode incluir opęóes, metacaracteres e argumentos. Eis umexemplo de como usar 
a substituięao de comando: 

$ vi $(find /home | grep xyzzy) 

Nesse exemplo, a substituięao de comando e feita antes de o comando vi ser executado. Primeiro, o 
comando f ind comeęa no diretório /home e imprime todos os arquivos e diretórios abaixo desse ponto 
no sistema de arquivos. A saida e redirecionada para o comando grep, que filtra todos os arquivos, 
exceto para aqueles que incluem a string xyz zy em seu nome. Por firn, o comando vi abre todos os 
nomes que incluem xy z zy para a edięao (umde cada vez). (Se executar isso e nao estiver familiarizado 
como vi, voce pode digitar: : q! para sair do arquivo.) 

Esse exemplo emparticular e util se voce quiser editar umarquivo cujo nome voce conhece, mas nao a 
localizaęao. Desde que a string nao seja comum, voce pode encontrar e abrir cada ocorrencia de um 
nome de arquivo existente abaixo de um ponto escolhido no sistema de arquivos. (Em outras palavras, 
nao use grep a partir do sistema de arquivos raiz ou voce vai encontrar e tentar editar varios milhares 
de arquivos.) 


Expandindo expressóes aritmeticas 

Pode haver ocasióes emque voce deseja passar resultados aritmeticos para um comando. Ha duas formas 
que voce pode utilizar para expandir urna expressao aritmetica e passa-la para o shell: $ [ expressao ] 



ou $ ( expressao ) .Exemplo: 


$ echo "I am $[2012 - 1957] years old." 

I am 55 years old. 

O shell interpreta a primeira expressao aritmetica (2012 - 1957)e depois passa essas informaęóes 
para o comando echo. O comando echo exibe o texto, comos resultados da aritmetica (55) inseridos. 

Eis um exemplo da outra forma: 

$ echo "There are $ (ls | wc -w) files in this directory." 

There are 14 files in this directory. 

Isso lista o conteudo do diretório atual (ls) e executa o comando de contagemde palavras para contar o 
numero de arquivos encontrados (wc -w). O numero resultante (14 nesse caso) e ecoado de volta como 
resto da sentenęa sendo mostrado. 


Expandindo variaveis 

Variaveis que armazenam informaędes dentro do shell podem ser expandidas usando o metacaractere 
cifrao ($). Quando voce expande urna variavel de ambiente emuma linha de comando, o valor da 
variavel e impresso em vez do próprio nome da variavel, como a seguir: 

$ ls -1 $BASH 

-rwxr-xr-x 1 root root 625516 Dec 5 11:13 /bin/bash 

Usando $ BASH como um argumento para 1 s - 1 causa urna listagem do comando bash para ser 
impressa. 


Usando variaveis de shell 


O próprio shell armazena informaędes que podem ser uteis para a sessao de shell do usuario naquilo que 
e chamado de vańaveis. Exemplos de variaveis incluem $ SHELL (que identifica o shell que voce esta 
usando), $PS1 (que define a sua prompt de shell) e $MAIL (que identifica a localizaęao da caixa de 
correio). 

\bce pode ver todas as variaveis definidas para seu shell atual digitando o comando set. Um 
subconjunto de variaveis locais e chamado de vańaveis de ambiente, que sao exportadas para quaisquer 
novos shells abertos a partir do shell atual. Digite env para ver variaveis de ambiente. 

\bce pode digitar echo $VALOR, em que o VALOR e substituido pelo nome de urna variavel de ambiente 
especial que voce deseja listar. E como ha sempre multiplas maneiras de fazer qualquer coisa no Linux, 
voce tambempode digitar declare para obter urna lista das variaveis de ambiente atuais e seus valores, 
juntamente comuma lista de funęóes de shell. 




Alem daąueles que voce mesmo define, arquivos de sistema definemvariaveis que guardamas coisas, 
tais como locais de arquivos de configuraęao, caixas de correio e diretórios de caminho. Elas tambem 
podem armazenar valores para prompts de shell, o tamanho da lista de histórico e o tipo do sistema 
operacional. \foce pode consultar o valor de qualquer urna dessas variaveis precedendo-a comumcifrao 
($) e coloca-la emqualquer lugar na linha de comando. Por exemplo: 

$ echo $USER 

chris 

Esse comando imprime o valor da variavel de USER, que contem seu nome de usuario (Chris). Substitua 
qualquer outro valor para USER para imprimir seu valor. 

Quando voce inicia um shell (entrando no meio de um console virtual ou abrindo urna janela de terminal), 
muitas variaveis de ambiente ja estao definidas. A Tabela 3.5 exibe algumas variaveis que sao definidas 
quando voce usa um shell bash ou que podem ser definidas por voce para utilizar com recursos 
diferentes. 


TABELA 3.5 

Variaveis de Ambiente Shell Comuns 

iavel 

Descrięao 

SH 

Contem o caminho completo do comando bash. Esse e geralmente 

/bin/bash. 

SH VERSION 

Um numero da versao atual do comando bash. 

ID 

Esse e o numero de ID de usuario efetivo do usuario atual. Ele e atribuido 
ąuando o shell inicia, com base na entrada do usuario no arquivo 

/etc/passwd. 

EDIT 

Se definido, indica o editor de texto usado pelo comando f c para editar 
comandos do histórico. Se essa variavel nao estiver definida, o comando vi e 
usado. 

STFILE 

Alocalizaęao do seu arquivo de histórico. Ele e geralmente localizado em 

$HOME/.bash history. 

STFILESIZE 

O numero de entradas de histórico que pode ser armazenado. Depois que esse 
numero e alcanęado, os comandos antigos sao descartados. O valor padrao e 
1000. 

STCMD 

Isso retorna o numero do comando atual na lista de histórico. 

ME 

Esse e seu diretório inicial. E seu diretório de trabalho atual cada vez que voce 
entrar ou digitar o comando cd com qualquer opęao. 

STTYPE 

Um valor que descreve a arquitetura do computador em que o sistema Linux 
esta executando. Para PCs compativeis com Intel, esse valor e i386, i486, 
i586, ou i686, ou algo como i3 8 6-linux. Para maquinas AMD de 64 bits, 
ovalorex8 6 64. 

IL 

Essa e a localizaęao do seu arquivo de caixa de correio. O arquivo e 
geralmente seu nome de usuario no /var/spool/mail directory. 

DPWD 

O diretório que era o de trabalho antes de voce mudar para o atual. 



TYPE 

Um nome que identifica o sistema operacional atual. Para o Linux Fedora, o 
valor OSTYPE e tanto linux como linux-gnu, dependendo do tipo de shell que 
voce esta usando. (O bash tambem pode ser executado em outros sistemas 
operacionais.) 

TH 

Urna lista de diretórios separados por dois-pontos usada para encontrar os 
comandos que voce digita. O valor padrao para usuarios normais e: 
/bin:/usr/bin:/usr/local/bin:/usr/bin/ 

XII: /usr/XllR6/bin : ~/bin . Voce precisa digitar o caminho 
completo ou o caminho relativo para um comando que deseja executar mas 
que nao esta em seu PATH. Para o usuario root, o valor tambem inclui 
/sbin, /usr/sbin e /usr/local/sbin. 

ID 

O processo de identificaęao do comando que iniciou o shell atual (por 
exemplo, a janela de terminal contendo o shell). 

OMPT COMMAND 

Pode ser definido como um nome de comando que e executado cada vez antes 
de seu prompt de shell ser exibido. Definir PROM PT COMMAND=date lista a 
data/hora atual antes do prompt aparecer. 

1 

Configura o valor de seu prompt de shell. Ha muitos itens que podem ser 
interpretados no seu prompt (data, hora, nome de usuario, nome de host e 
assim por diante). As vezes, um comando requer avisos adicionais, que voce 
pode definir com as variaveis PS2, PS3 , assim por diante. 

D 

Esse e o diretório que e atriburdo como seu diretório atual. Esse valor muda a 
cada vez que voce muda diretórios usando o comando cd. 

NDOM 

Acessar essa variavel faz com que um numero aleatório seja gerado. O 
numero esta entre 0 e 99999. 

CONDS 

O numero de segundos desde o momento em que o shell foi iniciado. 

LVL 

O numero de niveis de shell associados com a sessao de shell atual. Quando 
voce efetuar login no shell, o SHLVL e 1. Cada vez que voce iniciar um novo 
comando bash (como, por exemplo, usar su para se tornar um novo usuario, 
ou simplesmente digitando bash), esse numero e incrementado. 

OUT 

Pode ser configurado como um numero que representa o numero de segundos 
que o shell pode permanecer inativo sem receber entrada. Depois que o 
numero de segundos e alcanęado, o shell e encerrado. Esse e um recurso de 
seguranęa que torna menos provavel que shells nao supervisionados sejam 
acessados por pessoas nao autorizadas. (Isso deve ser configurado no shell de 
login para realmente fazer com que o shell efetue o logout do usuario.) 


Criaęao e uso de aliases 

Usando o comando alias, voce pode efetivamente criar umatalho para qualquer comando e as opęóes 
que deseja executar mais tarde. \bce pode adicionar e listar aliases como comando alias. Considere 
os seguintes exemplos do uso de alias a partir de um shell bash: 


$ alias p='pwd ; ls -CF' 
$ alias rm='rm -i' 



No primeiro exemplo, a letra p e atribmda para executar o comando pwd, depois para executar ls -CF 
para imprimir o diretório de trabalho atual e listar seu conteudo em forma de coluna. O segundo exemplo 
executa o comando rm com a opęao - i cada vez que voce simplesmente digitar rm. (Esse e um alias que 
costuma ser configurado automaticamente para o usuario root. Em vez de apenas excluir arquivos, voce 
sera solicitado para cada exclusao de arquivo individual. Isso impede que a remoęao automatica de todos 
os arquivos de um diretório ao digitar algo por engano como rm.) 

Enquanto voce estiver no shell, pode verificar quais aliases sao definidos digitando o comando alias. 
Se voce quiser remover um alias, digite unalias. (Lembre-se de que seoaliase definido emum 
arquivo de configuraęao, ele sera definido novamente quando voce abrir outro shell.) 


Encerrandooshell 

Para sair do shell quando terminar, digite exit, ou pressione Ctrl+D. Se voce for para o shell a partir de 
urna janela de terminal e estiver usando o shell original a partir dessa janela, sair faz com que a janela 
Terminal se feche. Se voce estiver emumconsole virtual, o shell se fecha e voce e levado de volta para 
um prompt de login. 

Se voce tiver varios shells abertos a partir da mesma sessao de shell, sair de um shell simplesmente faz 
voce voltar ao shell que carregou o shell atual. Por exemplo, o comando su abre um shell como umnovo 
usuario. Sair desse shell simplesmente traz voce de volta ao shell original. 


Criando Seu Ambiente de Shell 


\foce pode sintonizar seu shell para ajuda-lo a trabalhar de maneira mais eficiente. \foce pode definir 
aliases que criam atalhos para suas linhas de comando e variaveis de ambiente favoritas para 
armazenareminformaęóes. Adicionando essas configuraęóes aos arquivos de configuraęao do shell, voce 
pode ter as configuraęóes disponiveis sempre que abrir um shell. 

Configurandoseu shell 

Varios arquivos de configuraęao suportam a maneira como o shell se comporta. Alguns dos arquivos sao 
executados para cada usuario e cada shell, enquanto outros sao especificos do usuario que cria o arquivo 
de configuraęao. A Tabela 3.6 exibe os arquivos que sao de interesse para qualquer pessoa usando o 
shell bash no Linux. 

TABELA 3.6 Arquivos de Configuraęao do Bash 
uivo Descrięao 

tc/profile Configura as informaęoes de ambiente do usuario para cada usuario. E 

executado ąuando voce faz login pela primeira vez. Esse arquivo fornece 
valores para seu caminho, alem de definir as variaveis de ambiente para coisas 
como o local de sua caixa de correio e o tamanho dos arquivos de seu 
histórico. Por firn, o arquivo /etc/profile reune as configuraęóes do 






shell de arquivos de configuraęao no diretório /etc/profile, d. 

tc/bashrc 

Executa para cada usuario que roda o shell bash, sempre que um shell bash e 
aberto. Ele configura o prompt padrao e pode adicionar um ou mais aliases. 
Valores nesse arquivo podem ser substiturdos por informaęoes no arquivo 
~ / . bashrc de cada usuario. 

. bash profile 

Utilizado por cada usuario para inserir informaęoes que sao especificas do seu 
uso do shell. E executado apenas urna vez: quando o usuario faz login. Por 
padrao, configura algumas variaveis de ambiente e executa o arquivo 
.bashrc do usuario. Esse e um bom lugar para adicionar variaveis de 
ambiente, porque, urna vez configuradas, elas sao herdadas por shells futuros. 

. bashrc 

Contem informaęoes especificas dos shells bash do usuario. Ele e lido quando 
voce efetua o login e tambem todas as vezes que abre um novo shell bash. 

Esse e o melhor local para adicionar aliases para o shell usar. 

. bash logout 

Executa cada vez que voce faz logout (sai do ultimo shell bash). Por padrao, 
ele simplesmente limpa sua tela. 


Para alterar os arquivos /etc/profile ou /etc/bashrc, voce deve ser o usuario root. Os 
usuarios podemalterar as informaędes nos arquivos $HOME/ . bash_prof ile, $HOME/ .bashrc e 
$HOME/ .bash_logout emseus próprios diretórios iniciais. 

Ate que aprenda a usar o editor vi, descrito no Capltulo 5, “Trabalhando comarquivos de texto”, voce 
pode usar um editor simples chamado nano para editar arquivos de texto simples. Por exemplo, digite o 
seguinte para editar e adicionar coisas ao seuarquivo $HOME/ .bashrc: 

$ nano $HOME/.bashrc 

Como arquivo aberto no nano, mova o cursor para a parte inferior do arquivo (usando a tecla de seta 
para baixo). Digite a linha que voce quer (por exemplo, digite alias d="date +%D") . Para salvar 
o arquivo, pressione Ctrl+O (a letra O) e para sair pressione Ctrl+X. Da próxima vez que voce entrar ou 
abrir umnovo shell, sera capaz de usar o novo alias (nesse caso, apenas digite d). Para disponibilizar no 
shell atual a nova informaęao que voce acabou de adicionar ao arquivo, digite o seguinte: 

$ source $HOME/.bashrc 

As próximas seęóes fornecem ideias sobre itens que voce pode adicionar aos arquivos de configuraęao 
do shell. Na maioria dos casos, voce pode adicionar esses valores para o arquivo . bashrc em seu 
diretório home. Mas se voce administra um sistema, pode querer configurar alguns desses valores como 
padrao para todos os usuarios do seu sistema Linux. 

Configurandoseu prompt 

Seuprompt consiste emumconjunto de caracteres que aparecem sempre que o shell esta pronto para 
aceitar umcomando. Avariavel de ambiente PSI define o que contemo aviso e e como que voce 
interage a maior parte do tempo. Se o shell requer entrada adicional, ele usa os valores de PS2, PS3 e 



PS4 


Quando seu sistema Linux e instalado, um prompt costuma ser configurado para conter mais do que 
apenas um sinal de cifrao ou de jogo da velha. Por exemplo, no Fedora ou no Red Hat Enterprise Linux, o 
prompt e configurado para incluir as seguintes informaęóes: seu nome de usuario, o nome do host e o 
nome de base do seu diretório de trabalho atual. Essas informaęóes sao cercadas por colchetes e 
seguidas por um sinal de cifrao (para usuarios normais) ou um sinal de cerąuilha (para o usuario root). 
Eis um exemplo desse prompt: 

[chris@myhost bin]$ 

Se voce mudar de diretório, o nome bin mudara para o nome do novo diretório. Da mesma forma, se 
estivesse conectado como um usuario diferente ou a um host diferente, essas informaęóes mudariam 

\bce pode utilizar varios caracteres especiais (indicados ao adicionar urna barra invertida para urna 
yariedade de letras) para incluir diferentes informaęóes no seu prompt. Os caracteres especiais podem 
ser utilizados para produzir o numero do terminal, a data e a hora, bemcomo outras informaęóes. A 
Tabela 3.7 fornece alguns exemplos (voce pode encontrar mais na pagina man do bash). 

TABELA 3.7 Caracteres para Adicionar Informaęóes ao Prompt do Bash 
actere especial Descrięao 

Exibe o numero do comando no histórico atual. Isso inclui todos os comandos 
anteriores armazenados para seu nome de usuario. 

Exibe o numero do comando atual. Isso inclui somente os comandos do shell ativo. 

Exibe o prompt do usuario ($) ou root (#), dependendo de quem e o usuario. 

Exibe apenas o nome de base do diretório de trabalho atual. Por exemplo, se o 
diretório atual for /var/spool/mail, esse valor simplesmente aparece como 

mail. 

Precede urna seąuencia de caracteres nao imprimrveis. Isso pode ser usado para 
adicionar urna seąuencia de controle de terminal no prompt para coisas como mudar 
cores, adicionar efeitos de piscar ou colocar caracteres em negrito. (Seu terminal 
determina as seąuencias exatas disponrveis.) 

Segue urna seąuencia de caracteres nao imprimrveis. 

Exibe urna barra invertida. 

Exibe o nome do dia, o mes e o numero do dia da data atual. Por exemplo: Sat Jan 
23 

Exibe o hostname do computador que executa o shell. 

Faz com que urna nova linha ocorra. 

nn Exibe o caractere que se relaciona com o numero octal substituindo nnn. 

Exibe o nome do shell atual. Para o shell bash, o valor seria bash. 

Imprime o horario atual em horas, minutos e segundos (por exemplo, 10:14:39). 

Imprime seu nome de usuario atual. 



















Exibe o caminho completo para o diretório de trabalho atual. 


a 

ce esta definindo seu prompttemporariamente digitando no Shell, deve colocaro valorde PSI entre aspas. Por 
plo, voce pode digitar export PSl="[\t \w] \$ " para ver um prompt parecido com este: 

:26:32 /var/spool]$. 


Para fazer urna alteraęao permanente em seu prompt, adicione o valor de PSI para seu . bashrc em seu 
diretório home (supondo que voce esta usando o shell bash). Pode ja haver umvalor PSI no arquivo que 
voce pode modificar. Consulte o Bash Prompt HOWTO (http : / /www. tldp . org/HOWTO/Bash- 
Prompt-HOWTO) para obter informaęóes sobre alteraęao de cores, comandos e outros recursos do 
prompt do shell bash. 


Adicionando variaveis de ambiente 

\bce pode querer considerar a adięao de algumas variaveis de ambiente para seu .bashrc. Elas podem 
ajudar a tornar o trabalho como shell mais eficiente e efetivo: 

■ TMOUT — Define o tempo que o shell pode estar inativo antes que o bash saia automaticamente. O 

valor e o numero de segundos emque o shell nao recebeu entrada. Isso pode ser um bom recurso 
de seguranęa, se voce deixar sua mesa de trabalho enquanto ainda esta conectado ao Linux. Entao, 
para nao ser desconectado enquanto esta trabalhando, voce pode querer definir o valor para algo 
como TMOUT=l 8 0 0 (para permitir 30 minutos de tempo ocioso). \bce pode usar qualquer 
sessao de terminal para fechar o shell atual após um determinado numero de segundos — por 
exemplo, TMOUT=30. 

■ PATH — Conforme descrito anteriormente, a variavel PATH define os diretórios que estao sendo 

buscadas para os comandos que voce usa. Se voce costuma usar diretórios de comandos que nao 
estao no seu caminho, pode adiciona-los permanentemente. Para fazer isso, adicione a variavel 
PATH para seu . bashrc. Por exemplo, para adicionar um diretório chamado 
/getstuf f/bin, adicione o seguinte: 

PATH=$PATH:/getstuff/bin ; export PATH 

Esse primeiro exemplo le todos os diretórios do caminho atual para o novo PATH ($PATH) 

/getstuf f/bin, adiciona o diretório /getstuf f /bin e exporta o novo PATH. 


inęao 

nas pessoas adicionam o diretório atual ao seu PATH acrescentando um diretório identificado simplesmente por 
onto (.), como segue: 


ATH=.:$PATH ; export PATH 









permite que voce execute comandos no seu diretório atual antes de avaliar qualquer outro comando no caminho 
ue as pessoas podem estar acostumadas a fazer se usam DOS). Mas o risco de seguranęa com esse 
edimento e que voce pode estar em um diretório que contem um comando que voce nao pretende executar a 
rdesse diretório. Porexemplo, uma pessoa mal-intencionada poderia colocarum comando ls em um diretório 
em vez de listar o conteudo de seu diretório, faz algo desonesto. Por causa disso, a pratica de adicionar o ponto 
tminho e altamente desencorajada. 


■ WHATEVER — \foce pode criar suas próprias variaveis de ambiente para criar atalhos no seu 
trabalho. Escolha qualquer nome que nao esta sendo utilizado e atribua umvalor util. Por 
exemplo, se voce faz um monte de trabalho com arquivos no diretório 
/work/time/f iles/info/memos, voce pode definir a seguinte variavel: 

M=/work/time/files/info/memos ; export M 

\bce poderia fazer daquele o seu diretório atual, digitando cd $M. \bce pode executar umprograma a 
partir desse diretório chamado de hotdog, digitando $M/hotdog. \bce pode editar a partir dai um 
arquivo chamado bun digitando vi $M/bun. 


Obtendo Informaęoes Sobre Comandos 


Quando voce comeęa a usar o shell, isso pode ser intimidante. Tudo o que voce ve e umprompt. Como 
voce sabe quais comandos estao disponiveis, quais as opęóes eles usam ou como usar os recursos 
avanęados? Felizmente, ha uma grandę quantidade de aj uda. Eis alguns lugares que voce pode conferir 
para complementar o que aprendeu neste capitulo. 

■ Verifique o PATH — Digite echo $PATH. \foce yisualiza uma lista dos diretórios contendo 
comandos imediatamente acessiveis. Alistagemdo conteudo desses diretórios exibema maioria 
dos comandos padrao do Linux. Por exemplo: 


? ls /bin 


arch 

dd 

fusermoun' 

avk 

df 

gavk 

baaenar.e 

daesg 

gettext 

bash 

±-. 3 d cc? i ^ r. n ame 

grep 

cat 

dotc.acnr.aae 

grar 

chgrp 

echo 

gunzcp 

ehaod 

ed 

gaip 

chotm 

egrep 

ho 3 tnair.e 

cp 

env 

ipcalc 

rpic 

ex 

kbd_n.c-de 

csh 

cut 

f alse 


fgztf 

f ind 

ke^*c vl 

kill 

dash 

link 

datę 

£ indant 

ln 


loadkeys 

nv 

mano 

taakaet 

login 

nano 

rprr. 

tcsh 

13 

r.etsrat 

rvi 

touch 

lsblk 

nice 

rvaew 

true 

lscgroup 

r.i sdcaacnnaae 

sed 

unount 

lssubsys 

pcng 

aetfont 

unaxr.e 

maci 

pcr.gć 

setaerial 

unlcnk 

naclx 

pa 

sh 

usleep 

akdir 

pKd 

»1«F 

vi 

aknod 

readlink 

sore 

vie»» 

aik^er.p 

red 

stty 

seat 

aore 

redhat_lsb_inir 

su 

ssh 

mc ur.t 

nr. 

sync 


aountooint 

rndir 

tar 



■ Use o comando help — Alguns comandos sao predefinidos no shell; portanto, nao aparecem 
em um diretório. O comando help lista os comandos e programas de opęóes disponiveis com 
cada um deles. (Digite help | less para percorrer a lista.) Para obter ajuda com um 
determinado comando interno, digite help comando, substituindo comando pelo nome que lhe 
interessa. O comando de help funciona apenas como shell bash. 







■ Use --help com o comando — Muitos comandos incluemuma opęao --help que voce 

pode usar para obter informaędes sobre como o comando e usado. Por exemplo, se voce digitar 
datę --help | less, o resultado mostra nao apenas opęóes, mas tambem formatos de 
tempo que voce pode usar como comando datę. Outros comandos simplesmente usamuma 
opęao -h, como fdisk -h. 

■ Use o comando info — O comando inf o e outra ferramenta para exibir informaędes sobre 

comandos do shell. O comando info pode mover-se entre urna hierarąuia de nós para encontrar 
informaędes sobre os comandos e outros itens. Nemtodos os comandos tern informaędes 
disponiveis no banco de dados, mas as vezes podem ser encontradas mais informaędes nele do 
que em urna pagina man. 

■ Use o comando man — Para saber mais sobre um determinado comando, digite man 

comando. (Substitua comando pelo nome do comando que voce deseja.) Urna descrięao do 
comando e das suas opęoes aparece na tela. 

Paginas man sao a maneira mais comum de obter informaędes sobre comandos, bem como sobre outros 
componentes basicos de um sistema Linux. As paginas man sao divididas nas categorias listadas na 
Tabela 3.8. Como um usuario regular, voce estara mais interessado nas paginas manna seęao 1. Como 
administrador do sistema, voce tambem estara interessado nas seęoes 4 e 8, e, ocasionalmente, na seęao 
4. Programadores estarao interessados nas paginas man das seęoes 2 e 3. 


TABELA 3.8 Seęoes das Paginas Man 


nero da seęao 

Nome da seęao 

Descrięao 


Comandos do usuario 

Comandos que podem ser executados a partir do shell 
por um usuario regular (em geral, nenhum privilegio 
administrativo e necessario). 


Chamadas de sistema 

Funęoes de programaęao usadas em um aplicativo para 
fazer chamadas ao kernel. 


Funęoes da biblioteca C 

Funęoes de programaęao que oferecem interfaces para 
bibliotecas de programaęao especrficas (tais como os 
de determinadas interfaces graficas ou outras 
bibliotecas que operam no espaęo do usuario). 


Dispositivos e arquivos especiais 

Nós do sistema de arquivos que representam 
dispositivos de hardware (como terminais ou unidades 
de CD) ou dispositivos de software (como geradores 
de numeros aleatórios). 


Formatos de arquivos e 
convenęoes 

Tipos de arquivos (como um arquivo grafico ou de 
processamento de texto) ou arquivos de configuraęao 
esperificos (como o arquivo passwd ou group). 


Jogos 

Jogos disponrveis no sistema. 


Diversos 

Yisao geral de tópicos como protocolos, sistemas de 
arquivos, padroes de conjunto de caracteres etc. 


Ferramentas e daemons de 

Comandos que exigem root ou outros privilegios 



administraęao do sistema 


administrativos para serem usados. 


Opęóes para o comando man permitem pesąuisar o banco de dados da pagina man ou exibir paginas man 
na tela. Eis alguns exemplos de comandos e opęóes de man: 

$ man -k passwd 

passwd 
passwd 

$ man passwd 
$ man 5 passwd 

Usando a opęao - k, voce pode procurar o nome e as seędes de resumo de todas as paginas do man 
instaladas no sistema. Ha cerca de urna duzia de paginas man que inclmam passwd no nome ou 
descrięao de um comando. 

Digamos que as duas paginas manque estouinteressado sao o comando passwd (na seęao 1 das paginas 
man) e o arquivo passwd (na seęao 5) das paginas man. Como simplesmente digitar man password 
exibiu a pagina da seęao 1, eu teria de pedir explicitamente a pagina man da seęao 5 se quisesse ver isso 
no lugar (man 5 passwd). 

Enquanto esta exibindo urna pagina man, voce pode ver diferentes partes do arquivo usando as teclas 
Page Down e Page Up (para mover urna pagina de cada vez). Use a tecla Enter ou as teclas de seta para 
cima e para baixo para mover-se urna linha de cada vez. Pressione urna barra (/) e, entao, digite um 
termo para pesquisa-lo no documento. Pressione n para repetir a pesquisa para frente ou N para repetir a 
pesquisa para tras. Para sair da pagina man, digite q. 


(1) - update user's aurhentication tokens 
(5) - password file 


Resumo 


Para se tornar um especialista emLinux, voce deve ser capaz de usar o shell para digitar comandos. Esse 
capitulo focaliza o shell bash, que e o mais comumente utilizado com sistemas Linux. Neste capitulo, 
voce aprendeu como os comandos sao estruturados e como muitos recursos especiais, tais como 
variaveis, completamento de comando e aliases sao utilizados. 

O próximo capitulo descreve como mover-se pelo sistema de arquivos do Linux a partir da linha de 
comando do shell. 


Bcercicios 


Use esses exercicios para testar seus conhecimentos de como usar o shell. Essas tarefas sup5emque voce 
esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem funcionem 
emoutros sistemas Linux). Se voce empacar, soluęóes para as tarefas sao mostradas no Apendice B 
(embora no Linux costume haver varias maneiras de fazer urna tarefa). 

L A partir do Desktop, alterne para o segundo console virtual e efetue login com sua conta de 
usuario. Execute alguns comandos. Entao, saia do shell e volte ao desktop. 






2 - Abra urna janela de terminal e mude a cor da fonte para vermelho e o fundo para amarelo. 

3 - Encontre o local do comando mount e a pagina man tracepath. 

4 - Digite os tres seguintes comandos e depois recupere e altere os comandos como descrito: 

$ cat /etc/passwd 
$ ls $HOME 
$ datę 

■ Use o recurso de recordar linha de comando para lembrar o comando cat e mudar 

/ etc/passwd para /etc/group. 

■ Lembre-se do comando ls, determine a maneira de listar os arquivos por tempo (utilizando a 

pagina de man) e adicione essa opęao para a linha de comando ls $HOME. 

■ Adicione indicadores de formato para o comando datę para exibir a saida de data como 

dia/mes/ano. 

5 - Execute o seguinte comando, digitando o minimo de caracteres possivel (usando completamento 
de comando com a tecla Tab): 

basename /usr/share/doc/. 

6 - Use o comando cat para listar o conteudo do arquivo /etc/services e redirecione esses 
conteudos ao comando less para que voce possa folhea-lo (pressione q para sair quando voce 
tiver terminado). 

7 - Execute o comando datę de tal maneira que a saida do comando produza o dia, mes, data e ano. 
Faęa comque isso seja lido por outra linha de comando, resultando emumtexto que aparece da 
seguinte maneira (sua data, naturalmente, sera diferente): Today is Thursday, 

December 08, 2011. 

8 - Usando variaveis, descubra como seu hostname, seu nome de usuario, seu shell e seus diretórios 
iniciais estao atualmente configurados. 

9 - Crie umalias chamado mypass que exibe o conteudo do arquivo /etc/passwd emsua tela de 
tal maneira que ele esteja disponivel a cada vez que voce entrar ou abrir umnovo shell de sua 
conta de usuario. 

10 Mostre a pagina man para a chamada de sistema mount. 



Movendo-se pelo sistema de arquivos 


Ca pftu 


NESTE CAPITULO 

Aprendendo sobre o sistema de arquivos Linux 
Listando atributos de arquivo e diretório 
Criando arquivos e diretórios 
Listando e alterando permissoes e posse 
Fazendo cópias e movendo arquivos 

0 sistema de arquivos Linux e a estrutura em que todas as informaędes sobre seu computador estao 
armazenadas. Na verdade, urna das propriedades que definemos sistemas UNIX, emque se baseia 
o Linux, e que quase tudo o que voce precisa identificar em seu sistema (dados, comandos, links 
simbólicos, dispositivos e diretórios) e representado por itens nos sistemas de arquivos. Saber onde as 
coisas estao e entender como manipular o sistema de arquivos a partir do shell, sao habilidades 
fundamentais em Linux. 

No Linux, os arquivos sao organizados dentro de urna hierarquia de diretórios. Cada diretório pode 
conter arquivos e outros diretórios. \bce pode referenciar qualquer arquivo ou diretório usando um 
caminho completo (por exemplo, /home/j oe/myf ile . txt) ouumcaminho relativo (por exemplo, 
se /home/j oe fosse seu diretório atual, voce poderia simplesmente referenciar o arquivo como 

myf ile . txt). 

Se voce mapeasse os arquivos e diretórios no Linux, ele seria parecido com urna arvore de cabeęa para 
baixo. No alto, esta o diretórioraiz (que nao deve ser confundido como usuario root), que e 
representado por urna unica barra (/). Abaixo disso, esta umconjunto de diretórios comuns no sistema 
Linux, como bin, dev, home, lib e tmp, para citar alguns. Cada umdesses diretórios, bemcomo 
diretórios adicionados ao diretório-raiz, pode conter subdiretórios. 

A Figura 4.1 ilustra como o sistema de arquivos Linux e organizado como urna hierarquia. Para 
demonstrar como os diretórios sao conectados, a figura mostra um diretório /home que contemum 
subdiretório para o usuario j oe. Dentro do diretório j oe estao o Desktop, Documents e outros 
subdiretórios. Para referenciar umarquivo chamado memol. doc no diretório memos, voce pode 
digitar o caminho completo /home/j oe/Documents/memos/memol .doc. Se seu diretório atual 
for /home/j oe/Documents/memos, consulte o arquivo simplesmente como memol. doc . 



a 4.1 


:ema de arquivos Linux e organizado como uma hierarąuia de diretórios. 


Eis alguns dos diretórios do Linux que podemlhe interessar: 

■ /bin — Contem comandos comuns de usuarios Linux, como ls, sort, datę e chmod. 

■ /boot — Contem o kernel inicializavel do Linux e os arquivos de configuraęao do carregador de 

inicializaęao (GRUB). 

■ /dev — Contem arquivos que representam os pontos de acesso a dispositivos em seus sistemas. 

Esses incluemdispositivos terminal (tty*), disquetes (fd*), discos rigidos (hd* ou sd*), 
RAM ( ram*) e CD-ROM (cd*). Os usuarios podemacessar esses dispositivos diretamente 
atraves desses arquivos de dispositivo, mas alguns aplicativos ocultam dos usuarios finais o 
nome dos dispositivos reais. 

■ /etc — Contem os arquivos de configuraęao administrativa. Amaioria desses arquivos sao de 

texto simples que, desde que o usuario tenha a devida permissao, podem ser editados em qualquer 
editor de texto. 

■ /home — Contem diretórios atribuidos a cada usuario regular com uma conta de login. (O usuario 

root e uma exceęao, usando /root como seu diretório inicial.) 

■ /media — Fornece uma localizaęao padrao para dispositivos de automontagem (midia removivel 

emparticular). Se o produto possuir umnome de volume, esse nome e normalmente usado como 
ponto de montagem Por exemplo, umdrive USB com umnome de volume myusb seria montado 

em / media/myusb. 

■ /lib — Contembibliotecas compartilhadas requeridas por aplicativos em /bin e /sbin para 

inicializar o sistema. 

■ /mnt — Um ponto de montagem comum para muitos dispositivos, antes de ser suplantado pelo 

diretório /media padrao. Alguns sistemas Linux inicializaveis ainda usamesse diretório para 
montar partięóes de disco rigido e sistemas de arquivos remotos. Muitas pessoas ainda usamesse 
diretório para montar temporariamente sistemas de arquivos locais ou remotos que nao sao 
montados de forma permanente. 

■ /mi sc — Um diretório usado as vezes para montar sistemas de arquivos mediante solicitaęao. 

■ /opt — Estrutura de diretórios disponiveis para armazenar software suplementar. 

■ /proc — Conteminformaęóes sobre os recursos do sistema. 

■ /root — Representa o diretório do usuario root. O diretório inicial de root nao reside sob 

/home por razóes de seguranęa. 




■ / sbin — Contem comandos administrativos e processos de daemon. 

■ / tmp — Contem arquivos temporarios usados pelos aplicativos. 

■ /usr — Contem a documentaęao do usuario, jogos, arquivos graficos (XII), bibliotecas (lib) 

urna variedade de outros comandos e arquivos que nao sao necessarios durante o processo de 
inicializaęao. 

■ /var — Contem diretórios de dados utilizados por varios aplicativos. Emparticular, esse e o 

lugar onde voce coloca os arquivos que voce compartilha, como um servidor de FTP 
(/var/ftp) ouumservidor web (/var/www). Ele tambem contem todos os arquivos de log do 
sistema (/var/log) e arquivos de spool /var/spool (como mail, cups e news). 

Os sistemas de arquivos nos sistemas operacionais DOS ou Microsoft Windows diferem da estrutura de 
arquivo do Linux, como explica o quadro “Sistemas de arquivos Linux versus sistemas de arquivos 
baseados no Windows”. 


stemas de arquivos Linux versus sistemas de arquivos baseados no 
indows 

ibora semelhante em muitos aspectos, o sistema de arquivos Linux tem algumas diferenęas 
jrcantes em relaęao aos sistemas de arquivos usados nos sistemas operacionais MS-DOS e 
ndows. Eis algumas: 

■ Nos sistemas operacionais MS-DOS e Windows, as letras de unidade representam dispositivos 

de armazenamento diferentes (por exemplo, A: e urna unidade de disquete e C: e um disco 
rigido). No Linux, todos os dispositivos de armazenamento estao conectados com a hierarquia 
do sistema de arquivos. Assim, o fato de que tudo de /usr pode estar emumdisco rigido 
separado ouque /mnt/remotel e um sistema de arquivos de outro computador e invisivel 
para o usuario. 

■ Barras, em vez de barras invertidas, sao utilizadas para separar nomes de diretório no Linux. 

Portanto, C:\home\joe emum sistema da Microsoft e /home/joe em um sistema Linux. 

■ Nomes de arquivos quase sempre tem sufixos em DOS (como .txt para arquivos de texto ou .doc 

para arquivos de processamento de texto). Embora as vezes voce possa usar essa convenęao 
em Linux, sufixos de tres caracteres nao tem significado exigido em Linux. Ele podem ser uteis 
para identificar um tipo de arquivo. Muitos aplicativos Linux e ambientes de desktop usam 
sufixos de arquivo para determinar o conteudo de um arquivo. No Linux, porem, as extens5es 
de comando do DOS como .com, .exe e .bat nao significam necessariamente umexecutavel. 
(Sinalizadores, ou flags, de permissao tornam os arquivos Linux executaveis.) 

■ Cada arquivo e diretório emum sistema Linux tempermissóes e posses associadas a ele. A 




seguranęa varia entre sistemas Microsoft. Como o DOS e o Microsoft Windows comeęaram 
como sistemas de um unico usuario, a posse de arquivo nao foi construida para esses sistemas 
quando foramconcebidos. Distribuięóes posteriores adicionaram recursos como atributos de 
arquivo e de pasta para resolyer esse problema. 


Usando comandos basicos do sistema de arquivos _ 

Quero apresenta-lo a alguns comandos simples relacionados com o sistema de arquivos para comeęar. Se 
voce quiser acompanhar, faęa login e abra um shell. Ao efetuar login emum sistema Linux e abrir um 
shell, voce e levado para seu diretório inicial. Como um usuario de Linux, a maioria dos arquivos que 
voce salva e com os quais voce trabalha provavelmente estara no diretório ou subpastas que voce cria. A 
Tabela 4.1 mostra comandos para criar e usar arquivos e diretórios. 


TABELA 4.1 

Comandos para Criar e Usar Arquivos 

nando 

Resultado 

Muda para outro diretório. 

d 

Imprime o nome do diretório de trabalho atual. 

dir 

Cria um diretório. 

mod 

Altera a permissao sobre um arquivo ou diretório. 

Lista o conteudo de um diretório. 


Umdos comandos mais basicos que voce utiliza a partir do shell e cd. O comando cd pode ser usado 
semopęóes (para leva-lo para seu diretório inicial) ou comcaminhos completos ourelativos. Considere 
os seguintes comandos: 

$ cd /usr/share/ 

$ pwd 

/usr/share 

$ cd doc 

/usr/share/doc 

$ cd 
$ pwd 

/home/chris 

Aopęao /usr/share representa o caminho absoluto para um diretório no sistema. Como comeęa com 
urna barra (/), esse caminho diz ao shell para iniciar na raiz do sistema de arquivos e leva-lo para o 












diretório share que existe no diretório usr. Aopęao doc para o comando cd disse para procurar um 
diretório chamado doc que e relativo ao diretório atual. Portanto, isso tornou / usr/share/doc seu 
diretório atual. 

Depois disso, digitando cd apenas, voce volta para seu diretório inicial. Se voce ja se perguntou onde 
voce esta no sistema de arquivos, o comando pwd pode ajuda-lo. Eis algumas outras opęóes 
interessantes do comando cd: 

$ cd ~ 

$ pwd 

/home/chris 

$ cd ~/Music 
$ pwd 

/home/chris/Music 

$ cd /usr 

$ pwd 

/usr 

O til (~) representa seu diretório inicial. Assim, cd ~ leva voce para la. Tambem e possivel usar o til 
para referenciar diretórios relativos ao seu diretório inicial, como /home/chris/Music com 
-/Musie. Enquanto digitar umnome como urna opęao leva voce para um diretório abaixo do diretório 
atual, voce pode usar dois pontos (. .) para ir para um diretório acima do atual. O exemplo mostrado o 
leva tres niveis de diretório acima (ate /) e, entao, o leva para o diretório /usr. 

Os passos a seguir o guiam pelo processo de criaęao de diretórios dentro do seu diretório inicial e 
mostram como voce pode se mover pelos seus diretórios, com urna menęao a configuraęao das 
permissóes de arquivo apropriadas: 

1 - Va para seu diretório inicial. Para tanto, simplesmente digite cd emum shell e pressione 
Enter. (Para outras formas de referenciar seu diretório inicial, consulte o quadro 
“Identificando diretórios”.) 

2 - Para certificar-se de que esta no seu diretório inicial, digite pwd. Quando faęo isso, 
obtenho a seguinte resposta (a sua refletira seu diretório inicial) : 

$ pwd 

/home/j oe 

3 - Crie umnovo diretório chamado test em seu diretório inicial, como segue: 

$ mkdir test 

4 - Verifique as permissóes do diretório: 

$ ls -ld test 




drwxr-xr-x 2 joe sales 1024 Jan 24 12:17 test 


Essa listagemmostra que test e umdiretório (d). Ode seguido pelas permissoes (rwxr-xr-x), que 
serao explicadas mais adiante na seęao “Entendendo as permissóes e posse de arquivos”. As demais 
informaęóes indicamo proprietario (j oe), o grupo (sales) e a data emque os arquivos no diretório 
forammodificados mais recentemente (24 de janeiro as 12:17). 


ta 

edora e no Red Hat Enterprise Linux, quando voce adiciona um novo usuario, o usuario e atribuido a um grupo de 
no nome, por padrao. Por exemplo, no texto anterior, o usuario joe seria atribuido ao grupo joe. Essa 
dagem para a atribuięao de grupos e referida como esquema de grupo privado do usuario. 


Por enquanto, digite o seguinte: 

$ chmod 700 test 

Esse passo altera as permissoes do diretório para dar-lhe acesso completo e nenhum 
acesso a todos os outros. (As novas permissoes devem exibir rwx-.) 

5 - Torne o diretório test seu diretório atual da seguinte maneira: 

$ cd test 
$ pwd 

/home/joe/test 

Se voce acompanhou, nesse momento um subdiretório do seu diretório inicial chamado test e seu 
diretório de trabalho atual. \foce pode criar arquivos e diretórios no diretório test, juntamente comas 
descrięóes no restante deste capitulo. 


Usando Metacaracteres e Operadores _ 

Quer voce esteja listando, movendo, copiando, removendo ou de outra forma atuando sobre os arquivos 
emseu sistema Linux, alguns caracteres especiais, chamados de metacaracteres e operadores, ajudam-no 
a trabalhar comarquivos de forma mais eficiente. Metacaracteres podemajuda-lo a localizar umoumais 
arquivos sem digitar completamente o nome de cada arquivo. Operadores permitem que voce direcione a 
informaęao de um comando ou arquivo para outro comando ou arquivo. 

Utilizando metacaracteres para correspondencia de arquivo 

Para poupar-lhe alguns pressionamentos de tecla e para que voce possa facilmente referenciar um grupo 
de arquivos, o shell bashpermite usar metacaracteres. Sempre que precisar referenciar umarquivo ou 
diretório, como para lista-lo, abri-lo ou exclui-lo, voce pode usar metacaracteres para localizar os 








arquivos que deseja. Eis alguns metacaracteres uteis para corresponder nomes de arquivo: 

■ * — Localiza qualquer numero de caracteres. 

■ ? — Localiza qualquer caractere. 

■ [ . . . ] — Localiza qualquer umdos caracteres entre os colchetes, o que pode incliiir urna gama 
de letras ou numeros separados por hlfen. 

Experimente alguns desses metacaracteres de correspondencia de arquivo primeiro indo para um 
diretório vazio (como o diretório test descrito na seęao anterior) e criando alguns arquivos vazios: 

$ touch apple banana grapę grapefruit watermelon 

O comando touch cria arquivos vazios. Os comandos a seguir mostramcomo usar metacaracteres de 
shell como comando ls para localizar nomes de arquivos. Tente os seguintes comandos para ver se 
voce tern as mesmas respostas: 

$ ls a* 

apple 

$ ls g* 

grapę grapefruit 

$ ls g*t 

grapefruit 

$ ls *e* 

apple grapę grapefruit watermelon 

$ ls *n* 

banana watermelon 

O primeiro exemplo localiza qualquer arquivo que comeęa comuma (apple). O próximo exemplo 
combina todos os arquivos que comeęamcomg (grapę, grapefruit). Emseguida, os arquivos que 
comeęamcomg e terminamemt sao localizados (grapefruit). Depois, qualquer arquivo que 
contemume no nome e localizado (apple, grapę, grapefruit, watermelon). Por firn, qualquer 
arquivo que contemumn e localizado (banana, watermelon). 

Eis alguns exemplos de correspondencia de padróes como ponto de interrogaęao (?): 

$ ls ????e 

apple grapę 

$ ls g???e* 

grapę grapefruit 



O primeiro exemplo localiza qualquer arquivo de cinco caracteres que termina em e (apple, grapę). 
O segundo localiza qualquer arquivo que comeęa com g e tem como seu quinto caractere um e (grapę, 
grapefruit). 

Os exemplos a seguir usam colchetes para fazer a correspondencia de padrdes: 

$ ls [abw]* 

apple banana watermelon 

$ ls [agw]*[ne] 

apple grapę watermelon 

No primeiro exemplo, qualquer arquivo comeęando com a, b ou w e localizado. No segundo, qualquer 
arquivo que comeęa com a, g, ouwe tambem termina com um n ou um e , e localizado. \foce tambem 
pode incluir intervalos entre colchetes. Por exemplo: 

$ ls [a-g]* 

apple banana grapę grapefruit 

Aqui, todos os nomes que comeęam com urna letra de a a g sao localizados. 

Utilizando metacaracteres para redirecionamento de arquivos 

Comandos recebem dados da entrada padrao e os enviam para a saida padrao. Utilizando 
redirecionamentos (descritos anteriormente), voce pode direcionar a saida padrao de um comando para a 
entrada padrao de outro. Com os arquivos, voce pode usar os sinais menor que (<) e maior que (>) para 
direcionar dados de e para arquivos. Eis os caracteres de redirecionamento de arquivo: 

■ < — Direciona o conteudo de um arquivo para o comando. Na maioria dos casos, essa e aęao 

padrao esperada pelo comando e o uso do caractere e opcional; utilizar less bigfileeo 
mesmoqueless < bigfile. 

■ > — Direciona a saida padrao de um comando para um arquivo. Se o arquivo existir, o conteudo 

dele sera sobrescrito. 

■ 2> — Direciona mensagens de erro padrao ( standard error ) para o arquivo. 

■ &> — Direciona tanto a saida padrao como o erro padrao para o arquivo. 

■ >> — Direciona a saida de um comando para um arquivo, adicionando a saida ao finał do arquivo 

existente. 

Eis alguns exemplos de linhas de comando emque a informaęao e dirigida de e para arquivos: 


$ mail root < ~/.bashrc 



$ man chmod | col -b > /tmp/chmod 

$ echo "I finished the project on $(datę)" » ~/projects 

No primeiro exemplo, o conteudo do arquivo . bashrc no diretório inicial e enviado emuma mensagem 
de mail para o usuario root do computador. A segunda linha de comando fermata a pagina man chmod 
(usando o comando man), remove os espaęos extras (col -b) e envia a saida para o arquivo 
/tmp/chmod (apagando o arquivo / tmp/chmod anterior, se ele existir). O comando finał faz com 
que o seguinte texto seja adicionado ao arquivo project do usuario: 

I finished the project on Sat Jan 22 13:46:49 PST 2011 

Outro tipo de redirecionamento, referido como here text (tambem chamado here document), permite que 
voce digite o texto que pode ser usado como entrada padrao para um comando. Here documents 
envolvem inserir dois sinais de menor que (<<) após um comando, seguidos de urna palavra. Toda 
digitaęao após a palavra e tornada como entrada do usuario ate que a palavra seja repetida emuma linha 
sozinha. Eis umexemplo: 

$ mail root cnegus rjones bdecker «thetext 

> I want to tell everyone that there will be a 10 a.m. 

> meeting in conference room B. Everyone should attend. 

> 

> -- James 

> thetext 

$ 

Esse exemplo envia urna mensagem de e-mail para os usuarios root, cnegus, rjones, e bdecker. O texto 
inserido entre <<thetext e thetext torna-se o conteudo da mensagem. Urna forma comumde usar 
here text e com um editor de texto para criar ou adicionar um arquivo a partir de dentro de um script: 

/bin/ed /etc/resolv.conf <<resendit 
a 

nameserver 100.100.100.100 


w 

q 

resendit 


Com essas linhas adicionadas a um script executado pelo usuario root, o editor de texto ed adiciona o 
endereęo IPde umservidor DNS ao arquivo /etc/resolv. conf. 



Uso de caracteres de expansao 

Usando chaves ({ }), voce pode expandir umconjunto de caracteres emtodos os nomes de arquivo, 
nomes de diretórios ou outros argumentos que voce da aos comandos. Por exemplo, se quiser criar um 
conjunto de arquivos, como memol a memo5, voce pode fazer isso da seguinte maneira: 

$ touch meano{l,2,3,4,5} 

$ ls 

menel meno2 nenio 3 memo4 meno 5 


Os itens que sao expandidos nao precisam ser numeros ou mesmo digitos individuais. Por exemplo, voce 
poderia usar intervalos de numeros ou digitos. \foce tambempode usar qualquer string de caracteres, 
desde que os separe comvirgulas. Eis alguns exemplos: 

$ touch {John,Bill,Sally} - {Breałcf ast,Lunch,Dinner} 

$ ls 

Bill-3reakfast Bill-Lunch John-Dinner Sally-Breakfast 
Sally-Lunch 

Bill-Dinner John-Breakfast John-Lunch Sally-Dinner 
$ rm -f (John,Bill,Sally}-{Breałcfast,Lunch,Dinner} 

$ touch {a..f}{1..5} 

$ ls 

al a3 aS b2 b4 cl c3 c5 d2 d4 el e3 e5 f2 f4 
a2 a4 bl b3 bS c2 c4 dl d3 dś e2 e4 fl f3 f5 


No primeiro exemplo, o uso de dois conjuntos de chaves significa que John, Bill e Sally tern nomes de 
arquivo associados a Breakfast, Lunch e Dinner. Se tivesse cometido um erro, eu poderia facilmente 
recuperar o comando e mudar touch para rm -f para excluir todos os arquivos. No exemplo a seguir, 
o uso de dois pontos entre as letras Ae F e os numeros 1 e 5 especifica os intervalos a seremutilizados. 
Obserye os arquivos que foramcriados a partir desses poucos caracteres. 


Listando arquivos e diretórios _ 

O comando ls e o mais comumente usado para listar informaędes sobre arquivos e diretórios. Muitas 
opęóes disponiveis como comando ls permitemreunir diferentes conjuntos de arquivos e diretórios, 
bemcomo ver diferentes tipos de informaęóes sobre eles. 

Por padrao, quando voce digita o comando ls, o resultado exibe todos os arquivos e diretórios nao 
ocultos contidos no diretório atual. Quando voce digita ls, porem, muitos sistemas Linux (incluindo o 
Fedora e o RHEL) atribuem um alias ls para adicionar opęóes. Para ver se ls e alias, digite o seguinte: 

$ alias ls 

alias ls='ls --color=auto' 

Aopęao — color=auto faz comque diferentes tipos de arquivos e diretórios sejamexibidos emcores 
diferentes. Assim, yoltando ao diretório $HOME/test criado no inicio do capitulo, adicione alguns 
tipos de arquivo diferentes e depois veja como eles aparecemcomo comando ls. 


$ cd $HOME/test 




$ touch scriptx.sh apple 
$ chmod 755 scriptx.sh 
$ mkdir Stuff 

$ ln -s apple pointer_to_apple 
$ ls 

apple pointer_to_apple scriptx.sh Stuff 

Embora voce nao possa ver isso no exemplo de código anterior, o diretório docs aparece emazul, 
pointer_to_apple (umlinksimbólico) aparece emazul e scriptx. sh (que e umarquivo 
executavel) aparece emverde. Todos os outros arquivos regulares aparecem em preto. Di gitar ls -1 
para ver uma longa lista desses arquivos pode tornar esses diferentes tipos de arquivo ainda mais claros: 

$ ls -1 
total 4 

-rw-rw-r—. 1 jce joe 0 Dec IB 13:38 apple 

lrwxrwxrwx. 1 joe joe 5 Dec 19 13:46 pcinter_to_apple -> apple 

-rwxr-xr-x. 1 jce joe 0 Dec 18 13:37 scriptx.sh 

drwxrwxr-x. 2 jce joe 4096 Dec 18 13:38 Stuff 

Ao examinar a longa listagem mostrada, notę que o primeiro caractere de cada linha exibe o tipo de 
arquivo. Um hifen (-) indica um arquivo regular, um d indica um diretório e um 1 (L minusculo) indica 
um link simbólico. Um arquivo executavel (um script ou arquivo binario que funciona como um comando) 
tern os bits de execuęao ativados (x). Veja mais sobre bits de execuęao na seęao “Entendendo Permissóes 
e Posse de Arquivos” mais adiante. 

Aseguir, voce deve se familiarizar como conteudo do seudiretório inicial. Use as opęóes -1 e -a 
para ls. 


$ ls -la /hame/joe 

total 158 

drvxrwxrvx 2 joe 

sales 

4096 

May 

12 

13:55 


drwx:-xr-x 

3 

root 

root 

4096 

May 

10 

01:49 

, , 

-rw- 

1 

joe 

sales 

2204 

May 

18 

21:30 

.bash history 

-rw-r—r— 

1 

joe 

sales 

24 

May 

10 

01:50 

.bash logout 

-rw-r—r— 

1 

joe 

sale3 

230 

May 

10 

01:50 

.bash_profile 

-rw-r—r— 

1 

joe 

sale3 

4096 

May 

10 

01:50 

.kde 

-rw-rw-r— 

1 

joe 

sales 

149872 

May 

11 

22:49 

letter 

col 1 col 


col 3 


4 col 5 


col 6 

cci 7 


Exibindo uma lista completa (opęao -1) do conteudo de seu diretório inicial, e mostrado mais sobre o 
tamanho de arquivos e diretórios. A linha total exibe a quantidade total de espaęo em disco utilizado 
pelos arquivos na lista (158 kilobytes neste exemplo). Diretórios como o diretório atual (.) e o diretório 
pai (. .) — o diretório acima do diretório atual — sao apontados como diretórios com a letra d no inicio 
de cada entrada. Cada diretório comeęa comumd e cada arquivo comeęa comumtraęo (-). 

Os nomes de arquivos e diretórios sao mostrados na coluna 7. Neste exemplo, um ponto (.) representa 
/home/joe e dois pontos (. .) representam /home — o diretório pai de / joe. Amaioria dos 
arquivos desse exemplo e de arquivos ponto (.), que sao usados para armazenar propriedades da 
interface grafica (diretório . kde) ou propriedades de shell (arquivos . bash). O unico arquivo nao 






ponto nessa lista e umchamado letter. Acoluna 3 exibe o proprietario do diretório ou arquivo. O 
diretório /home e possuido por root e tudo o mais e de posse do usuario j oe, que pertence ao grupo 
sales (grupos sao listados na coluna 4). 

Alemdo d ou -, cada linha da coluna 1 contem as permissóes definidas para esse arquivo ou diretório. 
Outras informaęóes na listagem incluem o numero de links nao simbólicos para o item (coluna 2), o 
tamanho de cada arquivo embytes (coluna 5), bem como a data e a hora em que cada arquivo foi mais 
recentemente modificado (coluna 6). 

Eis alguns outros fatos sobre arquivos e listas de diretórios: 

■ O numero de caracteres exibidos para um diretório (4096 bytes nesses exemplos) reflete o tamanho 

do arquivo que contem informaęóes sobre o diretório. Embora esse numero possa crescer acima 
de 4096 bytes para um diretório que contem bastantes arquivos, esse numero nao reflete o 
tamanho dos arquivos contidos nesse diretório. 

■ O formato da coluna de hora e data pode variar. Em vez de exibir “May 12”, a data pode ser 

apresentada como “2011/05/12”, dependendo da distribuięao e da configuraęao de idioma 
(variavel LANG). 

■ Ocasionalmente, emvez de ver o bit de execuęao (x) configurado emumarquivo executavel, voce 

pode ver um s no lugar. Comum s aparecendo dentro das permissóes do proprietario (-rwsr- 
xr-x), ou do grupo (-rwxr-sr-x), ou ambas (-rwsr-sr-x), o aplicativo pode ser 
executado por qualquer usuario, mas a posse do processo em execuęao e atribuida ao 
usuario/grupo do aplicativo em vez do usuario que inicia o comando. Isso e referido como um 
programa set UID ou set GID, respectivamente. Por exemplo, o comando mount terno conjunto 
de permissóes -rwsr-xr-x. Isso permite que qualquer usuario execute mount para listar 
sistemas de arquivos montados (embora voce ainda tenha de ser root para usar mount a firn de 
realmente montar sistemas de arquivos, na maioria dos casos). 

■ Se um t aparecer no finał de um diretório, isso indica que o sticky bit esta configurado para esse 

diretório (por exemplo, drwxrwxr-t). Ao configurar o sticky bit em um diretório, o 
proprietario desse diretório pode permitir que outros usuarios e grupos adicionem arquivos a ele, 
mas impede que os usuarios excluamos arquivos uns dos outros nesse diretório. Comum conjunto 
GID atribuido a um diretório, todos os arquivos criados nele sao atribuidos ao mesmo grupo que 
o grupo desse diretório. (Se voce vir um S maiusculo ou T emvez de bits de execuęao emum 
diretório, isso significa que a permissao set GID ou stick bit, respectivamente, foi configurada, 
mas por alguma razao o bit de execuęao tambem nao foi ativado.) 

■ Se voce vir um sinal de mais no finał dos bits de permissao (por exemplo, -rw-rw-r —+), isso 

significa que os atributos estendidos, como listas de controle de acesso (ACLs) ou SELinux, estao 
configuradas no arquivo. 



entificando diretórios 

jando precisar identificar seu diretório inicial em uma linha de comando do shell, voce pode 
ar o seguinte: 

■ $HOME — Essa variavel de ambiente armazena o nome do diretório inicial. 

■ -O til (~) representa seu diretório inicial na linha de comando. 

ce tambem pode usar o til para identificar o diretório inicial de outro usuario. Por exemplo, 
oe seria expandido para o diretório inicial joe (provavelmente /home/joe). Entao, se eu 
isesse ir para o diretório /home/joe/test cd ~joe/test, eu poderia digitar cd 
oe/test para chegar la. 

jtras maneiras especiais de identificar diretórios no shell incluem o seguinte: 

■ . — Um unico ponto (.) referencia o diretório atual. 

■ . . — Dois pontos (. .) referenciam um diretório diretamente acima do diretório atual. 

■ $ PWD — Essa variavel de ambiente referencia o diretório de trabalho atual. 

■ $OLDPWD — Essa variavel de ambiente referencia o diretório de trabalho anterior antes de 

voce mudar para o atual. (Digitar cd - retorna para o diretório representado por $OLDPWD). 


Como mencionei anteriormente, existemmuitas opęóes uteis para o comando ls. \folte para o diretório 
$HOME/test emque voce esteve trabalhando. Eis alguns exemplos de opęóes de ls . Nao se preocupe 
se o resultado nao corresponder exatamente ao que esta no seu diretório neste momento. 

Qualquer arquivo ou diretório comeęando com um ponto (.) e considerado um arquivo oculto e nao e 
exibido por padrao com ls. Aopęao -a permite que voce veja os arquivos. Aopęao -t exibe arquivos 
na ordememque eles forammais recentemente modificados. Com a opęao -F, uma barra (/) aparece no 
finał do nome dos diretórios, umasterisco (*) e adicionado aos arquivos executaveis e umsinal de 
arroba (@) e mostrado ao lado de links simbólicos. 

Para mostrar arquivos ocultos e nao ocultos: 


$ ls -a 

. apple docs grapefruit pointer_to_app>le .stuff watermelon 

.. banana grapę .hiddendir script.sh .tnp>file 


Para listar todos os arquivos pela data/hora da ultima modificaęao: 

$ ls -at 

.tinpfile .hiddendir .. docs watermelon 

banana script.sh 

. .stuff pointer_to_apple grapefruit apple grapę 


Para listar arquivos e anexar indicadores do tipo arquivo: 





$ ls -F 


apple banana docs/ grapę grapefruit pointer_to_apple@ script.sh* 
watermelon 

Para evitar a exibięao de determinados arquivos ou diretórios quando voce usa ls, use a opęao -- 
hide=. No próximo conjunto de exemplos, qualquer arquivo comeęando com g nao aparece na saida. A 
opęao -d em um diretório exibe informaęóes sobre o diretório emvez de mostrar os arquivos e 
diretórios que esse diretório contem. A opęao -R lista todos os arquivos no diretório atual, bemcomo 
quaisquer arquivos ou diretórios que estao associados ao diretório original. A opęao -S lista arquivos 
por tamanho. 

Para nao incluir todos os arquivos que comeęam com a letra g na lista: 

$ ls --hide=g* 

apple banana docs pointer_to_apple script.sh watermelon 

Para listar informaęóes sobre um diretório emvez dos arquivos que ele contem: 

$ ls -ld $HOME/test/ 

drwxrwxr-x. 4 joe joe 4096 Dec 18 22:00 /home/joe/test/ 

Para criar multiplas camadas de diretório (-p e necessario): 

$ mkdir -p $HOME/test/documents/memos/ 

Para listar todos os arquivos e diretórios recursivamente a partir do diretório atual para baixo: 

$ ls -R 

Para listar os arquivos por tamanho: 

$ ls -S 


Entendendo Permissoes e Posse de Arquivos 

Depois de ter trabalhado com Linux por um tempo, e quase certo que voce obtera urna mensagem 
Permission denied. Permissóes associadas a arquivos e diretórios no Linux foramprojetadas para 
impedir que os usuarios acessem arquivos privados de outros usuarios e para proteger arquivos 
importantes do sistema. 

Os nove bits atribuidos para cada permissao de arquivo definem o acesso que voce e outros tern ao seu 




arquivo. Bits de permissao para umarquivo regular aparecemcomo -rwxrwxrwx. Esses bits sao 
usados para definir quem pode ler, gravar ou executar o arquivo. 


ta 

um arquivo regular, um traęo aparece na frente do indicador de permissoes de nove bits. Em vez de um traęo, 
pode ver um d (para diretório), 1 (para link simbólico), b (para dispositivo de bloco), c (para dispositivo de 
steres), s (para soquete), ou p (para pipę nomeado). 


Das permissóes de nove bits, os tres primeiros bits se aplicam a permissao do proprietario, os tres 
seguintes se aplicam ao grupo atribuido ao arquivo e os tres ultimos se aplicam a todos os outros. O r 
significa permissao de leitura, o w significa permissao de gravaęao e x significa permissao de 
execuęao. Se aparecer um traęo emvez da letra, significa que a permissao esta desativada para esse 
bit associado de leitura, gravaęao ou execuęao. 

Como os arquivos e diretórios sao diferentes tipos de elementos, permissóes de leitura, gravaęao e 
execuęao sobre arquivos e diretórios significam coisas diferentes. A Tabela 4.2 explica o que voce pode 
fazer com cada um deles. 


TABELA 4.2 Configurando as Permissoes de Leitura, Gravaęao e Execuęao 


missao 

Arquivo 

Diretório 

id 

Yisualiza o que esta no arquivo. 

Yisualiza os arquivos e subpastas que ele contem. 

ite 

Altera o conteudo do arquivo, o 
renomeia ou o exclui. 

Adiciona arquivos ou subdiretórios ao diretório. 

Remove arquivos ou diretórios do diretório. 

icute 

Executa o arquivo como um 
programa. 

Muda para o diretório como o diretório atual, pesquisa 
no diretório ou executa um programa a partir do 
diretório. Acessa metadados (tamanho do arquivo, 
registros de data e hora etc.) de arquivos no diretório. 


Como observado anteriormente, voce pode ver a permissao para qualquer arquivo ou diretório digitando 
o comando ls -ld. O arquivo ou diretório nomeado aparece como os mostrados neste exemplo: 

$ ls -ld ch3 test 

-rw-rw-r— 1 joe sales 4983 Jan 18 22:13 ch3 
drwxr-xr-x 2 joe sales 1024 Jan 24 13:47 test 

Aprimeira linha exibe que o arquivo ch3 tern permissao de leitura e gravaęao para o proprietario e o 
grupo. Todos os outros usuarios tern permissao de leitura, o que significa que eles podemvisualizar o 
arquivo, mas nao alterar ou remover seu conteudo. A segunda linha exibe o diretório test (indicado 
pela letra d antes dos bits de permissao). O proprietario tern permissóes de leitura, gravaęao e execuęao, 
enquanto o grupo e os outros usuarios tern apenas permissóes de leitura e execuęao. Como resultado, o 
proprietario pode adicionar, alterar ou excluir arquivos no diretório e todos os outros só podem alterar 











esse diretório ou ler e listar seu conteudo. (Se nao tivesse usado as opęóes -d para ls, voce teria 
listado arquivos no diretório test emvez das permissóes nesse diretório.) 


Alterando permissóes com chmod (numeros) 

Se possuir umarquivo, voce pode usar o comando chmod para alterar as permissóes sobre ele como 
quiser. Um metodo de fazer isso, a cada permissao (leitura, gravaęao e execuęao) e atribuida um numero 
— r= 4, w=2 e x=l — e usar o numero total de cada conjunto para estabelecer a permissao. Por exemplo, 
para tornar as permissóes abertas para voce mesmo como proprietario, voce deve configurar o primeiro 
numero como 7 (4+2+1) e, entao, voce daria ao grupo e aos outros, permissao de somente leitura, 
configurando o segundo e o terceiro numeros como 4 (4+0+0), de modo que o numero finał e 744. 
Qualquer combinaęao de permissóes pode resultar de 0 (sem permissao) a 7 (plena permissao). 

Eis alguns exemplos de como alterar permissóes sobre umarquivo (chamado file) e o que a permissao 
resultante seria: 

O comando chmod a seguir resulta nesta permissao: rwxrwxrwx 

# chmod 777 file 

O comando chmod a seguir resulta nesta permissao: rwxr-xr-x 

# chmod 755 file 

O comando chmod a seguir resulta nesta permissao: rw-r—r— 

# chmod 644 file rw-r--r- 

O comando chmod a seguir resulta nesta permissao:- 

# chmod 000 file - 

O comando chmod tambempode ser utilizado de forma recursiva. Por exemplo, digamos que voce 
queira dar a urna estrutura de diretório inteira a permissao 755 (rwxr-xrx), comeęando no diretório 
$HOME/myapps. Para fazer isso, voce pode usar a opęao -R, como segue: 

$ chmod -R 755 $HOME/myapps 

Todos os arquivos e diretórios abaixo, incluindo o diretório myapps em seu diretório inicial, terao o 
conjunto de permissóes 755. Como a abordagem numerica para configurar permissóes altera todos os bits 
de permissao de urna só vez, e mais comum o uso de letras para recursivamente alterar os bits de 
permissao de um conjunto grandę de arquivos. 


Alterando permissóes com chmod (letras) 





\bce tambempode ativar e desativar as permissoes de arquivo usando os sinais de mais (+) e menos (-), 
respectivamente, junto comletras para indicar o que muda e para quem Usando letras, para cada arquivo 
voce pode mudar a permissao para o usuario (u), grupo (g), outros (o) e todos os usuarios (a). O que 
voce mudaria inclui os bits de leitura (r), gravaęao (w) e execuęao (x). Por exemplo, comece comum 
arquivo que temtodas as permissóes abertas (rwxrwxrwx). Execute os seguintes comandos chmod 
usando as opęóes do sinal de menos. As permissdes resultantes sao mostradas a direita de cada comando: 

O comando chmod a seguir resulta nesta permissao: r-xr-xr-x 

chmod a-w file 

O comando chmod a seguir resulta nesta permissao: rwxrwxrw- 

chmod o-x file 

O comando chmod a seguir resulta nesta permissao: rwx - 

chmod go-rwx file 

Da mes ma forma, os exemplos que se seguem comeęam com todas as permissóes fechadas (- 

). O sinal positivo e usado com chmod para ativar permissóes: 

O comando chmod a seguir resulta nesta permissao: rw - 

$ chmod u+rw files 

O comando chmod a seguir resulta nesta permissao: --x--x--x 

$ chmod a+x files 

O comando chmod a seguir resulta nesta permissao: r-xr-x - 

$ chmod ug+rx files 

Usar letras para alterar a permissao recursivamente com chmod geralmente funciona melhor do que usar 
numeros, porque voce pode alterar os bits de forma seletiva, em vez de mudar todos os bits de permissao 
de urna vez. Por exemplo, digamos que voce deseja remover a permissao de gravaęao para “outros” sem 
alterar nenhumoutro bit de permissao emumconjunto de arquivos e diretórios. \bce poderia fazer o 
seguinte: 

$ chmod -R o-w $HOME/myapps 

Este exemplo remove recursivamente as permissóes de gravaęao para os “outros” em todos os arquivos e 
diretórios abaixo do diretório myapps. Se voce tivesse usado numeros como 644, a permissao de 
execuęao seria desativada para diretórios; usando 755, a permissao de execuęao seria ativada para 
arquivos regulares. Usando o-w, apenas umbit e desativado e todos os outros bits sao deixados intactos. 






Configurando a permissao de arquivo padrao com umask 

Quando voce cria umarqiiivo como um usuario comum, este recebe a permissao rw-rw-r— por 
padrao. Umdiretório recebe a permissao rwxrwxr-x. Para o usuario root, as permissóes sobre arquivo 
e diretório sao rw-r—r— e rwxr-xr-x, respectivamente. Esses valores padrao sao determinados 
pelo valor de umask. Digite umask para ver qual e seu valor de umask. Por exemplo: 

$ umask 

0002 

Se voce ignorar o primeiro zero por ummomento, o valor umask mascara o que e considerado como 
sendo permissóes completamente abertas para umarquivo 666 ouumdiretório 777. O valor umask de 
002 resulta na permissao 755 sobre umdiretório (rwxrwxr-x). Esse mesmo umask resulta emuma 
permissao 644 sobre umarquivo (rw-rw-r--). (Permissóes de execuęao estao desativadas por padrao 
para arquivos regulares.) 

Para alterar temporariamente seu valor de umask, execute o comando umask. Agora, experimente criar 
alguns arquivos e diretórios para ver como o valor umask afeta o modo como as permissóes sao 
configuradas. Por exemplo: 

$ umask 777 ; touch £xle01 ; mkdir dxr01 ; ls -ld fileCl dxr01 

d-. 2 joe joe 4096 Dec 19 11:03 dirOl 

- I j oe j oe o Dec 19 11:02 £xle01 

$ umask 000 ; touch £xle02 ; mkdir dir02 ; ls -ld £lle02 dxr02 
drwKrKxrwK. 2 joe joe 409€ Dec 19 11:00 dirOl/ 

-rw-rw-rw-. 1 joe joe 0 Dec 19 10:59 fileOl 

$ umask 022 ; touch £xle03 ; mkdir dir03 ; ls -ld £xle03 dxr03 
drwrr-jir-K. 2 joe joe 4096 Dec 19 11:07 dxr03 

-rw-r—r—. 1 joe joe 0 Dec 19 11:07 file03 

Se quiser alterar permanentemente seu valor de umask, adicione um comando umask ao arquivo 
. bashrc em seu diretório inicial (perto do finał desse arquivo). Da próxima vez que voce abrir um 
shell, o umask sera configurado como valor que voce escolheu. 

Alterando a posse de arquivo 

Como um usuario comum, voce nao pode alterar a posse de um arquivo ou diretório para que eles 
pertenęam a outro usuario. \bce pode alterar a posse como usuario root. Por exemplo, digamos que voce 
criou um arquivo chamado memo . txt enquanto era o usuario root, no diretório inicial do usuario j oe. 
Veja como voce pode altera-lo para ser possuido por joe: 

# chown joe /home/joe/memo.txt 

# ls -1 /home/joe/memo.txt 

-rw-r—r--. 1 joe root 0 Dec 19 11:23 /home/joe/memo.txt 

Notę que o comando chown alterou o usuario j oe, mas deixou o grupo como root. Para alterar o 
usuario e o grupo para j oe, voce pode digitar o seguinte no lugar: 





# chown joe:joe /home/joe/memo.txt 

# ls -1 /home/joe/memo.txt 

-rw-r —r—. 1 joe joe 0 Dec 19 11:23 /home/j oe/memo. txt 

O comando chown tambempode ser usado recursivamente. Usar a opęao recursiva (-R) e util se voce 
precisar alterar urna estrutura de diretório inteira para ser possuida por um determinado usuario. Por 
exemplo, se voce inseriu um pen drive, que e montado no diretório /media/myusb, e quiser dar a 
posse plena sobre o conteudo dessa unidade para o usuario j oe, voce pode digitar o seguinte: 

# chown -R joe:joe /media/myusb 

Movendo, copiando e excluindo arquivos 

Comandos para mover, copiar e excluir arquivos sao relativamente simples. Para alterar a localizaęao de 
umarquivo, use o comando mv. Para copiar umarquivo de umlocal para outro, use o comando cp. Para 
excluir um arquivo, use o comando rm. Esses comandos podem ser usados para agir sobre arquivos e 
diretórios individuais, ou recursivamente para agir sobre muitos arquivos e diretórios de urna só vez. Eis 
alguns exemplos: 

$ mv abc def 
$ mv abc ~ 

$ mv /home/joe/mymemos/ /home/joe/Documents/ 

O comando mv primeiro move o arquivo abc para o arquivo def no mesmo diretório (essencialmente o 
renomeando), enquanto o segundo move o arquivo abc para seu diretório inicial (~). O próximo 
comando move o diretório mymemos (e todo seu conteudo) para o diretório 

/home/j oe/Documents. 

Por padrao, o comando mv sobrescreve todos os arquivos existentes, se houver arquivos com o mesmo 
nome no destino. Mas muitos sistemas Linux fornecem um alias ao comando mv para que ele use a opęao 
-i (que faz o mv perguntar antes se voce quer sobrescrever arquivos existentes). Eis como verificar se 
isso e verdade em seu sistema: 

$ alias mv 

alias mv='mv -i' 

Eis alguns exemplos de como usar o comando cp para copiar arquivos de umlocal para outro: 

$ cp abc def 
$ cp abc ~ 

$ cp -r /usr/share/doc/bash-completion* /tmp/a/ 




$ cp -ra /usr/share/doc/bash-completion* /tmp/b/ 

O primeiro comando copy (cp) copia abc para o novo nome def no mesmo diretório, enąuanto o 
segundo copia abc para seu diretório inicial (~), mantendo o nome abc. Os dois comandos de cópia 
recursiva (-r) copiamo diretório bash-completion, e todos os arquivos que ele contem, primeiro para os 
novos diretórios /tmp/a/ e /tmp/b/. Se voce executar ls -1 nesses dois diretórios coma opęao 
archive (-a), os registros de data/hora e as permissóes sao mantidos pela cópia, mas semo -a, a data e 
a hora atuais sao usadas e as permissóes sao determinadas por seu umask. 

O comando cp normalmente tambeme usado na forma de umalias coma opęao - i, para evitar 
sobrescrever os arquivos inadvertidamente. 

Tal como acontece com os comandos cp e mv, rm tambem e geralmente usado com um alias para incluir 
a opęao - i. Isso pode impedir o dano que possa vir de urna exclusao recursiva (-r) inadvertida. Eis 
alguns exemplos do comando rm: 

$ rm abc 
$ rm * 

O primeiro comando removedor exclui o arquivo abc, o segundo remove todos os arquivos do diretório 
atual (exceto diretórios e/ou quaisquer arquivos que comeęamcomumponto). Se quiser excluir um 
diretório, voce precisa usar a opęao recursiva (-r) para rm ou, para um diretório vazio, voce pode usar 
o comando rmdir. Considere os seguintes exemplos: 

$ rmdir /home/joe/nothing/ 

$ rm -r /home/joe/bigdir/ 

$ rm -rf /home/joe/hugedir/ 

O comando rmdir no código anterior só remove o diretório (nothing) se ele estiver vazio. O 
exemplo rm -r remove o diretório bigdir e todo seu conteudo (arquivos e varios niveis de 
subdiretórios), mas pedira confirmaęao antes de cada um ser removido. Ao adicionar a opęao de foręa (- 
f), o diretório hugedir e todo seu conteudo sao imediatamente removidos, semavisar. 


męao 

vez que voce sobrescreve a opęao - i nos comandos mv, cp e rm , voce arrisca excluir alguns (ou muitos) dos 
ivos por engano. Usar curingas (como *) e nenhum -i torna os erros ainda mais provaveis. Dito isso, ha 
lentos em que voce nao querse incomodarem percorrercada arquivo que exclui. Voce tern outras opęóes: 

■ Como observado com a opęao - f, voce pode foręar rm a excluirsem perguntar. Urna alternativa e executar 
rm, cp ou mv com urna barra invertida na frente dele (\rm bigdir). A barra invertida faz com que 
qualquercomandoexecutesem alias. 


■ Outra alternativa com mv e usar a opęao -b. Com -b, se um arquivo de mesmo nome existir no destino, 






uma cópia de backup do arquivo antigo e feita antes de o novo arquivo ser movido para la. 


Resumo 


Comandos para se mover pelo sistema de arquivos, copiar, mover e excluir arquivos estao entre os mais 
basicos que voce precisa para rabalhar a partir do shell. Este capitulo abrange muitos comandos para 
mover e manipular arquivos, bem como comandos para alterar a posse e as permissóes sobre arquivos e 
diretórios. 

O próximo capitulo descreve os comandos de edięao e pesquisa de arquivos. Esses comandos incluemos 
editores de texto vim/vi, o comando f ind e o comando grep. 


Bcercicios 


Use esses exercicios para testar seus conhecimentos sobre maneiras eficientes de se mover pelo sistema 
de arquivos e trabalhar comarquivos e diretórios. Quando possivel, tente usar atalhos para digitar o 
minimo possivel a firn de obter os resultados desejados. Essas tarefas sup5emque voce esta executando 
um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem funcionem em outros 
sistemas Linux). Se voce empacar, soluęóes para as tarefas sao mostrados no Apendice B (embora no 
Linux costume haver varias maneiras de fazer uma tarefa). 

1 - Crie umdiretório no seu diretório inicial chamado pro j ects. No diretório pro j ects, 
crie nove arquivos vazios comos nomes housel, house2, house3 e assimpor diante 
ate house9. Assumindo que existemmuitos outros arquivos no diretório, sugira umunico 
argumento para ls que listę apenas os nove arquivos. 

2 - Crie o caminho de diretório $HOME/proj ects/houses/doors/. Crie os seguintes 
arquivos vazios dentro desse caminho de diretório (tente usar caminhos absolutos e 
relativos emrelaęao ao seu diretório inicial): 

$HOME/projects/houses/bungalow.txt 
$HOME/projects/houses/doors/bifold.txt 
$HOME/projects/outdoors/vegetation/landscape.txt 

3 - Copie os arquivos housel e house5 para o diretório $HOME/proj ects/houses/. 

4 - Copie recursivamente o diretório /usr/share/doc/initscripts* para o diretório 
$HOME/proj ects/. Mantenha os registros de data/hora e as permissóes. 

5 - Listę recursivamente o conteudo do diretório $HOME/proj ects/. Redirecione a saida 
para o comando less para que voce possa percorre-la pagina por pagina. 

6 - Remova os arquivos houseó, house7 e house8 semser perguntado se realmente deseja 
exclui-los. 






7 - Mova house3 e house4 para o diretório $HOME/proj ects/houses/doors . 

8 - Exclua o diretório $HOME/proj ects/houses/doors e seuconteudo. 

9 - Altere as permissóes sobre o arquivo $HOME/proj ects/house2 de modo que ele 
possa ser lido e gravado pelo usuario que possui o arquivo, apenas lido pelo grupo e que os 
outros nao tenham permissóes sobre ele. 

10 -Altere recursivamente as permissóes sobre o diretório $HOME/proj ects/ de modo que 
ninguem tenha permissao de gravaęao sobre qualquer arquivo ou diretório abaixo desse 
ponto no sistema de arquivos. 



Trabalhando com arquivos de texto 


CAPITU 



NESTE CAPITULO 

Usando vim e i para editar arquivos de texto 
Procurando arquivos 
Pesquisando em arquivos 

Q uando o sistema UNIX, em que o Linux foi baseado, foi criado, quase todas as informaęóes eram 
gerenciadas no sistema emarquivos de texto simples. Assim, era fundamental para os usuarios 
saber como usar as ferramentas para pesquisar, dentro de arquivos de texto simples, e por eles, e 
ser capaz de alterar e configurar esses arquivos. 

Hoje, a maior parte da configuraęao de sistemas Linux ainda e feita por edięao de arquivos de texto 
simples. Mesmo quando urna ferramenta grafica esta disponivel para trabalhar comumarquivo de 
configuraęao, ela nao fornece urna maneira de fazer tudo o que voce quer fazer nesse arquivo. Como 
resultado, voce precisara usar um editor de texto para configurar o arquivo. Da mesma forma, alguns 
tipos de arquivos de documento, como HTML e XML, tambem sao arquivos de texto simples que podem 
ser editados manualmente. 

Antes que voce possa se tornar um administrador de sistema pleno, precisa ser capaz de usar um editor 
de texto simples. O fato de que a maioria dos servidores Linux profissionais nao tern sequer urna 
interface grafica disponivel torna necessaria a edięao manuał dos arquivos de configuraęao de texto 
simples. 

Urna vez que voce sabe como editar arquivos de texto, ainda pode achar que e dificil descobrir onde os 
arquivos que voce precisa editar estao localizados. Comcomandos como f ind, e possivel pesquisar 
por arquivos combase emvarios atributos (nome do arquivo, tamanho, data de modificaęao e posse, para 
citar alguns). Como comando grep, voce pode pesquisar dentro de arquivos de texto para encontrar 
termos de pesquisa especificos. 


Editando Arquivos com vim e vi 

E quase impossivel usar o Linux por qualquer periodo de tempo e nao precisar de um editor de texto, 
porque, como observado anteriormente, a maioria dos arquivos de configuraęao do Linux sao arquivos de 




texto simples que voce vai precisar quase com certeza alterar manualmente em algum ponto. 

Se estiver usando umdesktop, voce pode executar gedit (selecione Applications => Accessories => 
gedit Text Editor), o qual e bastante intuitivo para edięao de texto. Tambem ha um editor de texto simples 
que voce pode executar a partir do shell chamado nano. Mas a maioria dos usuarios do shell do Linux 
usa o comando vi ou emacs para editar arquivos de texto. 

Avantagemdo vi ou do emacs sobre um editor grafico e que voce pode usar o comando a partir de 
qualquer shell, terminal de caractere, ou urna conexao baseado em caracteres atraves de urna rede 
(usando telnet ou ssh, por exemplo) — nenhuma interface grafica e necessaria. Eles tambem contem 
urna enorme quantidade de recursos, de modo que voce pode continuar a crescer com eles. 

Esta seęao fornece umbreve tutorial sobre o editor de texto vi, que voce pode usar para editar 
manualmente umarquivo de texto a partir de qualquer shell. Ela tambem descreve as vers5es melhoradas 
do vi chamadas vim. (Se o vi nao lhe agradar, veja o quadro “Explorando outros editores de texto” 
para outras opęóes.) 

O editor vi e dificil de aprender no inicio, mas depois que o conhece, voce nunca precisa usar ummouse 
ou urna tecla de funęao — voce pode editar e mover-se rapida e eficientemente dentro de arquivos 
usando apenas o teclado. 


cplorando outros editores de texto 

izenas de editores de texto estao disponiveis para uso com Linux. Existem algumas 
ernativas que podem estar na sua distribuięao Linux. Voce pode experimenta-las se achar o 
muito tedioso. Eis algumas das opęoes: 

■ nano — Um editor de texto simplificado popular que e usado commuitos Linuxes inicializaveis e 

outros ambientes Linux de espaęo limitado. Por exemplo, o nano esta disponivel para editar 
arquivos de texto durante o processo de instalaęao do Gentoo Linux. 

■ gedit — O editor de texto do GNOMĘ que funciona na desktop. 

■ j ed — Esse editor orientado para tela foi criado para programadores. Usando cores, o j ed pode 

realęar o código que voce cria para que possa ler facilmente o código e identificar erros de 
sintaxe. Use a tecla Alt a firn de selecionar os menus para manipular o texto. 

■ j oe — O editor joe e semelhante a muitos editores de texto para PC. Use Control e as teclas de 

seta para se mover. Pressione Ctrl+C para sair sem salvar ou Ctrl+X para salvar e sair. 

■ kate — Um editor elegante que acompanha o pacote kdebase. Ele tern muitos penduricalhos, 

como destacar diferentes tipos de linguagens de programaęao e controles para lidar com quebras 
de linha. 




■ kedi t — Um editor de texto baseado em urna interface grafica que acompanha o desktop KDE. 


■ mcedit — Nesse editor, teclas de funęao ajudam voce a se mover pelo arquivo e a salvar, 

copiar, mover e excluir texto. Assimcomo o j ed e o j oe, o mcedit e orientado para tela. 

■ nedit — Um excelente editor para programadores. \bce precisa instalar o pacote nedit 

opcional para obte-lo. 

s usar o ssh para fazer login em outros computadores Linux em sua rede, voce pode usar 
alquer editor de texto disponivel para editar arquivos. Se voce usar o ssh -x para se 
nectar ao sistema remoto, um editor baseado em GUI ira aparecer em sua tela local. 
jando nenhuma interface grafica estiver disponivel, voce precisara de um editor de texto que 
lciona no shell, como o vi, o jedouo joe. 


Iniciandocom ovi 

Na maioria das vezes, voce inicia o vi para abrir um arquivo especifico. Por exemplo, para abrir um 
arquivo chamado /tmp/test, digite o seguinte comando: 

$ vi /tmp/test 

Se esse for umnovo arquivo, voce devera ver algo semelhante ao seguinte: 


"/tmp/test" [New File] 

Urna caixa piscando no topo representa o lugar onde esta o cursor. Alinha interior mantem voce 
informado sobre o que esta acontecendo com sua edięao (aqui, voce acabou de abrir umnovo arquivo). 
No meio, ha tils (~) como enchimento porque ainda nao ha texto no arquivo. Agora, eis a parte 
intimidante: nao ha dicas, menus ou icones para lhe dizer o que fazer. Para piorar as coisas, voce nao 
pode simplesmente comeęar a di gitar. Se di gitar, o computador possivelmente emitira umbip. E algumas 
pessoas se queixam de que o Linux nao e amigavel. 

Primeiro, voce precisa saber os dois modos de operaęao principais: comando e entrada. O editor vi 
sempre inicia no modo de comando. Antes de poder adicionar ou alterar o texto no arquivo, voce tern de 
digitar um comando (urna ou duas letras e umnumero opcional) para falar ao vi o que voce quer fazer. A 
distinęao entre letras maiusculas e minusculas e importante, portanto, use-as exatamente como mostrado 




nos exemplos! 


ta 

:ed Hat Enterprise Linux, no Fedora e em outras distribuięóes Linux, para usuarios regulares, o comando vi e 
o como um alias para executaro vim. Se digitar alias vi, voce deve ver alias vi=' vim' . A primeira 
enęa óbvia entre vi e vim e que qualquer tipo de arquivo conhecido de texto, como HTML, código C ou um 
ivo de configuraęao comum, aparecera colorido. As cores indicarao a estrutura do arquivo. Outras caracteristicas 
im que nao estao no vi incluem recursos como destaque visual e modo de tela dividida. Por padrao, o usuario 
lao tern um alias de vi para vim. 


Adicionando texto 

Para entrar no modo de entrada, digite um comando de entrada. Para comeęar, digite qualquer um dos 
seguintes comandos. Quando voce terminar de introduzir texto, pressione a tecla Esc (as vezes, duas 
vezes) para voltar ao modo de comando. Lembre-se da tecla Esc! 

a — O comando add. Comesse comando, e possivel inserir umtexto que comeęa a direita do cursor. 

■ A — Adiciona ao finał do comando. Com esse comando, e possivel inserir texto a partir do firn da 

linha atual. 

■ i — O comando insert. Com esse comando, e possivel inserir texto que comeęa a esąuerda do 

cursor. 

■ I — O comando insert at beginning. Com esse comando, e possivel inserir texto que comeęa no 

inicio da linha atual. 

■ o — O comando open below. Esse comando abre urna linha abaixo da linha atual e coloca voce no 

modo de inseręao. 

■ O — O comando open above. Esse comando abre urna linha acima da linha atual e coloca voce no 

modo de inseręao. 


:a 

ido voce esta no modo de inseręao, — INSERT -- aparece na parte interior da tela. 


Digite algumas palavras e depois pressione Enter. Repita isso algumas vezes ate que voce tenha algumas 
linhas de texto. Quando terminar de digitar, pressione a tecla Esc para voltar ao modo de comando. 
Agora que voce tern um arquivo com algum texto nele, tente mover-se pelo texto com as teclas ou letras 
descritas na próxima seęao. 










re-se da tecla Esc! Ela sempre posiciona voce de volta ao modo de comando. Ha ocasioes em que voce tem de 
ionarEscduas vezes. 


Movendo-se pelo texto 

Para mover-se pelo texto, voce pode usar as setas para cima, para baixo, para a direita e para a esąuerda. 
Mas muitas das teclas para mover-se pelo texto estao imediatamente abaixo dos seus dedos quando estes 
estao emposięao de digitaęao: 

■ Teclas de seta — Move o cursor para cima, para baixo, para a esąuerda ou para a direita no 

arquivo um caractere por vez. Para mover-se para a esąuerda e para a direita, voce tambem pode 
usar a barra de espaęo e Backspace, respectivamente. Se voce preferir manter seus dedos no 
teclado, mova o cursor com h (para a esąuerda), 1 (para a direita), j (para baixo), ou k (para 
cima). 

■ w — Move o cursor para o inicio da próxima palavra (delimitada por espaęos, tabulaęóes ou 

pontuaęao). 

■ W — Move o cursor para o inicio da próxima palavra (delimitada por espaęos ou tabulaęóes). 

■ b — Move o cursor para o inicio da palavra anterior (delimitada por espaęos, tabulaęóes ou 

pontuaęao). 

■ B — Move o cursor para o inicio da palavra anterior (delimitada por espaęos ou tabulaęóes). 

■ 0 (zero) — Move o cursor para o inicio da linha atual. 

■ $ — Move o cursor para o finał da linha atual. 

■ H — Move o cursor para o canto superior esąuerdo da tela (primeira linha na tela). 

■ M — Move o cursor para o primeiro caractere da linha central na tela. 

■ L — Move o cursor para o canto esąuerdo inferior da tela (ultima linha na tela). 

Excluindo, copiando e alterando texto 

A unica outra edięao que voce precisa saber e como excluir, copiar ou alterar o texto. Os comandos x, d, 
y e c podem ser usados para excluir e alterar texto. Todos eles podem ser usados junto com teclas de 
movimento (setas, PgUp, PgDn, letras e teclas especiais) e numeros para indicar exatamente o que voce 
esta excluindo, copiando ou alterando. Considere os seguintes exemplos: 

■ x — Exclui o caractere sob o cursor. 

■ X — Exclui o caractere imediatamente antes do cursor. 

■ d <?> — Exclui algum texto. 

■ c <?> — Altera algum texto. 

■ y <?> — Copia (yanks ) algum texto. 





O <?> depois de cada letra na lista anterior identifica o lugar onde voce pode utilizar um comando de 
movimento para escolher o que voce esta excluindo, alterando ou copiando. Por exemplo: 

■ dw — Exclui (d) urna palavra (w) após a posięao atual do cursor. 

■ db — Exclui (d) urna palavra (b) antes da posięao atual do cursor. 

■ dd — Exclui (d) toda a linha atual (d). 

■ c$ — Al tera (c) os caracteres a partir do caractere atual ate o finał da linha atual ($) e entra no 

modo de entrada. 

■ cO — Al tera (c) a partir do caractere anterior ate o inlcio da linha atual (0) e entra no modo de 

entrada. 

■ cl — Apaga (c) a letra atual (1) e entra no modo de entrada. 

■ cc — Apaga (c) a linha (c) e entra no modo de entrada. 

■ yy — Copia (y) a linha atual (y) para o buffer. 

■ y) — Copia (y) a sentenęa atual ( ) ), a direita do cursor, para o buffer. 

■ y } — Copia (y) o paragrafo atual ( } ), a direita do cursor, para o buffer. 

Qualquer um dos comandos mostrados somente pode ser modificado usando numeros, como voce pode 
ver nos exemplos a seguir: 

■ 3dd — Exclui (d) tres linhas (3d), comeęando na linha atual. 

■ 3dw — Apaga (d) as próximas tres palavras (3w). 

■ 5cl — Altera (c) as próximas cinco (5) letras (1) (isto e, remove as letras e entra no modo de 

entrada). 

■ 12 j —Move-se parabaixo (j) 12 linhas (12). 

■ 5cw — Apaga (c) as próximas cinco (5) palavras (w) e entra no modo de entrada. 

■ 4y) — Copia (y) as próximas quatro (4) sentenęas ( ) ). 

Colandotexto 

Depois que o texto foi copiado para o buffer (apagando, alterando ou copiando-o), voce pode coloca-lo 
de volta em seu arquivo usando a letra p ou P. Com ambos os comandos, o texto mais recentemente 
armazenado no buffer e copiado para o arquivo de diferentes maneiras. 

■ P — Coloca o texto copiado a esquerda do cursor se ele contiver letras ou palavras; coloca o texto 

copiado acima da linha atual se ele contiver linhas de texto. 

■ p — Coloca o texto em buffer a direita do cursor se ele contiver letras ou palavras; coloca o texto 

em buffer abaixo da linha atual se ele contiyer linhas de texto. 



Repetindo comandos 

Depois de excluir, alterar ou colar texto, voce pode repetir essa aęao, digitando umponto (.). Por 
exemplo, como cursor no inicio do nome Joe, voce digita cw e digita Jim para alterar Joe para Jim. 
\bce pesąuisa a próxima ocorrencia de Joe no arquivo, posiciona o cursor no inicio desse nome e 
pressiona um ponto. Apalavra muda para Jim e voce pode pesąuisar a próxima ocorrencia. 

Saindo do vi 

Para concluir esse assunto, use os seguintes comandos para salvar ou fechar o arquivo: 

■ Z Z — Salva as mudanęas atuais no arquivo e sai do vi. 

■ : w — Salve o arquivo atual, mas continua no modo de edięao. 

■ : wq — O mesmo que Z Z. 

■ : q — Sai do arquivo atual. Isso só funciona se voce nao tiver nenhuma alteraęao nao salva. 

■ : q! — Sai do arquivo atual e nao salva as alteraęóes feitas no arquivo. 




)ce realmente estragou o arquivo por engano, o comando : q! e a melhor maneira de sair e abandonar as suas 
jęóes. 0 arquivo reverte para a versao mais recentemente alterada. Portanto, se voce acabou de salvar com : w, 
esta amarrado as mudanęas ate esse ponto. Se quiserapenas desfazeralgumas edięóes, digite u para desfazer 
u ma d as alteraęóes. 


\bce aprendeu alguns comandos de edięao do vi. Descrevo mais comandos nas próximas seęóes. 
Primeiro, porem, considere as seguintes dicas para facilitar seus primeiros testes como vi: 

■ ESC — Lembre-se de que ESC leva-o de volta ao modo de comandos. (Ja vi pessoas 

pressionarem cada tecla no teclado tentando sair de umarquivo.) ESC seguido por Z Z faz com 
que voce saia do modo de comandos, salve o arquivo e encerre. 

■ u — Pressione u para desfazer a ultima alteraęao que voce fez. Continue pressionando u para 

desfazer cada sucessiva alteraęao anterior. 

■ Ctrl+R — Se decidir que nao queria desfazer o comando de desfazer anterior (Undo), use Ctrl+R 

para refazer (Redo). Essencialmente, esse comando desfaz o que voce desfez. 

■ Caps Lock — Cuidado com a possibilidade de pressionar Caps Lock por engano. Tudo que voce 

digita no vi tern um significado diferente quando as letras estao emmaiusculas. \bce nao 
recebera um aviso de que esta digitando em maiusculas — as coisas apenas comeęam a parecer 
estranhas. 

■ ilcomando — Voce pode executar um comando enquanto estiver no vi usando : ! seguido por um 

nome de comando de shell. Por exemplo, digite : ! datę para ver a data e hora atuais, digite 






: ! pwd para ver qual e o diretório atual, digite : ! j obs para ver se voce tem algum trabalho 
sendo executado em segundo piano. Quando o comando termina, pressione Enter e voce volta a 
editar o arquivo. \foce pode ate mesmo usar essa tecnica para iniciar um shell (: ! bash) a partir 
do vi, executar alguns comandos de shell e, entao, digitar exit para retornar ao vi. 
(Recomendo fazer um salvamento antes de sair para o shell, apenas para o caso de voce 
esquecer-se de voltar ao vi.) 

■ Ctrl+G — Se voce esquecer o que esta editando, pressionar essas teclas exibe o nome do arquivo 

que esta sendo editado e a linha atual em que voce esta na parte inferior da tela. Tambem exibe o 
numero total de linhas no arquivo, a porcentagem do ponto em que voce esta no arquivo e o 
numero da coluna em que o cursor esta. Isso só o aj uda a se orientar depois que voce parou para 
tomar urna xlcara de cafe as tres da madrugada. 

Outras maneiras de se mover por um arquivo 

Alem dos poucos comandos para se mover por um arquivo descritos anteriormente, ha outras maneiras de 
fazer isso emumarquivo vi. Para experimenta-las, abra umarquivo grandę de teste. (Experimente 
copiar /var/log/messages para /tmp e abri-lo no vi Eis alguns comandos de movimento que 
voce pode utilizar: 

■ Ctrl+f — Pagina para frente, urna pagina por vez. 

■ Ctrl+b — Pagina para tras, urna pagina por vez. 

■ Ctrl+d — Desce meia pagina por vez. 

■ Ctrl+u — Sobe meia pagina por vez. 

■ G — Vai para a ultima linha do arquivo. 

■ IG — Vai para a primeira linha do arquivo. (Utilize qualquer numero para ir para essa linha no 

arquivo.) 

■ 35G — Ya para qualquer numero da linha (35, neste caso). 


Procurandotexto 

Para pesquisar a ocorrencia seguinte ou anterior do texto no arquivo, utilize o caractere de barra (/) ou o 
ponto de interrogaęao (?). Depois da barra ou do ponto de interrogaęao, coloque umpadrao (string de 
texto) para pesquisar esse padrao para frente ou para tras, respectivamente. Dentro da pesquisa, voce 
tambem pode utilizar metacaracteres. Eis alguns exemplos: 

■ /hello — Pesquisa para frente a palavra hello. 

■ ?goodbye — Pesquisa para tras a palavra goodbye. 

■ /The . * f oot — Pesquisa para frente urna linha que tem a palavra The nela e tambem, depois de 



algumponto, a palayra f oot. 


■ ? [pP] rint — Pesąuisa para tras printouPrint. Lembre-se de que a distinęao entre 

maiusculas e minusculas importa em Linux; portanto, utilize colchetes para pesąuisar palavras que 
poderiamter diferentes usos de maiusculas ou minusculas. 

Depois de ter introduzido um termo de pesquisa, basta digitar n ou N para pesquisar para frente ou para 
tras o mesmo termo de novo, respectivamente. 


Usando o modo ex 


O editor vi foi originalmente baseado no editor ex, que nao permite que voce trabalhe no modo de tela 
cheia. Entretanto, permitia que voce executasse comandos para localizar e alterar texto em urna ou mais 
linhas por vez. Quando voce digita um caractere de dois-pontos e o cursor vai para o fundo da tela, voce 
esta essencialmente no modo ex. Eis alguns exemplos desses comandos ex para pesquisar e alterar 
texto. (Escolhi as palavras Local e Remote para pesquisar, mas voce pode usar quaisquer palavras 
apropriadas.) 


■ : g/Local — Pesquisa a palavra Local e imprime todas as ocorrencias dessa linha no arquivo. 
(Se houver mais de urna tela de resultados, a saida e redirecionada para o comando morę.) 

■ : s/Local/Remote — Substitui Remote pela palavra Local na linha atual. 

■ : g/Local/s//Remote — Substitui a primeira ocorrencia da palayra Local emcada linha do 
arquivo pela palayra Remote. 

■ : g/Local/s//Remote/g — Substitui todas as ocorrencias da palayra Local pela palayra 
Remote emtodo o arquivo. 

■ : g/Local/s//Remote/gp — Substitui todas as ocorrencias da palayra Local pela palayra 
Remote emtodo o arquivo e depois imprime cada linha de modo que voce possa ver as 
mudanęas (redirecionando-as atrayes de less se a saida ocupar mais de urna pagina). 


Aprendendo mais sobre o vi e o vim 

Para saber mais sobre o editor vi, experimente digitar yimtutor. O comando yimtutor abre um 
tutorial no editor vim que guia voce pelos comandos e recursos comuns que podem ser usados no vim. 


Localizando arquivos 

Ate mesmo urna instalaęao basica do Linux pode ter milhares de arquivos instalados nela. Para ajuda-lo a 
encontrar arquivos emseu sistema, ha comandos como locate (para encontrar comandos pelo nome), 
f ind (para encontrar arquivos combase emyarios atributos diferentes) e grep (para pesquisar 
arquivos de texto a firn de encontrar linhas que contem o texto de pesquisa). 




Usando locate para localizar arquivos por nome 

Na maioria dos sistemas Linux (Fedora e RHEL incluidos), o comando updatedb e executado uma vez 
por dia para coletar os nomes de arquivos emtodo seu sistema Linux emumbanco de dados. Ao executar 
o comando locate, voce pode pesąuisar o banco de dados para encontrar a localizaęao de arquivos 
armazenados nele. 

Eis algumas coisas que voce deve saber sobre a pesquisa de arquivos usando o comando locate 

■ Ha vantagens e desvantagens emusar locate para localizar nomes de arquivos emvez de f ind. 

Umcomando locate localiza arquivos mais rapido, porque ele pesquisa emumbanco de 
dados, emvez de ter de pesquisar o sistema de arquivos inteiro. A desvantagem e que o comando 
locate nao pode encontrar todos os arquivos adicionados ao sistema desde a ultima vez que o 
banco de dados foi atualizado. 

■ Nemtodo arquivo em seu sistema de arquivos esta armazenado no banco de dados. O conteudo do 

arquivo /etc/updatedb . conf limita os nomes que sao coletados, podando tipos de 
montagem, tipos de sistemas de arquivos, tipos de arquivo e pontos de montagem selecionados. 
Por exemplo, nomes de arquivo nao sao coletados dos sistemas de arquivos remotamente 
montados (cifs, nfs etc.) ou CDs ouDVDs montados localmente (iso9660). Caminhos que 
contem arquivos temporarios (/tmp) e arquivos de spool (/var/spool/cups) tambemsao 
podados. \foce pode adicionar itens para podar (ou remover alguns itens que voce nao quer que 
sejampodados) o banco de dados locate de acordo comsuas necessidades. No RHEL, o 
arquivo updatedb . conf contem o seguinte: 

PRUNE_BIND_MOUNTS = "yes" 

PRUNEFS = "9p afs anon_inodefs auto autofs bdev binfmt_misc 
cgroup cifs coda configfs cpuset debugfs devpts ecryptfs exofs 
fuse fusectl gfs gfs2 hugetlbfs inotifyfs iso9660 jffs2 lustre 
mąueue ncpfs nfs nfs4 nfsd pipefs proc ramfs rootfs rpc_pipefs 
securityfs selinuxfs sfs sockfs sysfs tmpfs ubifs udf usbfs" 
PRUNENAMES = ".git .hg .svn" 

PRUNEPATHS = "/afs /media /net /sfs /tmp /udev /var/cache/ccache 
/var/spool/cups /var/spool/squid /var/tmp" 

■ Como um usuario comum, voce nao sera capaz de ver todos os arquivos do banco de dados 

locate que voce nao podia ver no sistema de arquivos normalmente. Por exemplo, se voce nao 
puder digitar ls para visualizar arquivos no diretório /root, nao sera capaz de localizar os 
arquivos armazenados no diretório. 

■ Quando voce procura por uma string, ela pode aparecer em qualquer lugar no caminho de um 

arquivo. Por exemplo, se pesquisar passwd, voce pode descobrir /etc/passwd, 

/usr/bin/passwd, /home/chris/passwd/pwdf ileś . txt e muitos outros arquivos 
compasswd no caminho. 


■ Se adicionar arquivos ao seu sistema depois de executar updatedb, voce nao sera capaz de 



localiza-los ate que updatedb execute novamente (provavelmente nessa noite). Para fazer com 
que o banco de dados contenha todos os arquivos ate o momento atual, voce pode simplesmente 
executar updatedb a partir do shell como root. 


Eis alguns exemplos de como usar o comando 1 o ca te para pesquisar arquivos: 

$ locate .bashrc 

/etc/skel/.bashrc 
/home/cnegus/.bashrc 

# locate .bashrc 

/etc/skel/.bashrc 
/home/bill/.bashrc 
/home/j oe/.bashrc 
/root/.bashrc 

Quando executado como umusuario comum, locate só localiza .bashrc em / etc/skel e 
diretório inicial do usuario. Executado como root, o mesmo comando localiza arquivos . bashrc no 
diretório inicial de todo mundo. 

$ locate muttrc 

/usr/share/doc/mutt-1.5.20/sample.muttrc 

$ locate -i muttrc 

/etc/Muttrc 
/etc/Muttrc.local 

/ ust / share/doc/mutt-1.5.20/sample.muttrc 


Usando locate -i, nomes de arquivos sao encontrados, independentemente do uso de maiusculas ou 
minusculas. No exemplo anterior, Muttrc e Muttrc . local foramencontrados com - i ao passo que 
nao foram encontrados sem essa opęao. 

$ locate services 

/etc/services 

/usr/share/services/bmp.kmgio 
/usr/share/services/data.kmgio 

Ao contrario do comando f ind, que usa a opęao -name para localizar nomes de arquivo, o comando 



locate localiza a string que voce insere se ela existir emqualquer parte do caminho do arquivo. Por 
exemplo, se pesquisar “seryices” usando o comando locate, voce encontra os arquivos e diretórios 
que contema string de texto “seryices”. 


Procurando arquivos com find 

O comando find e o melhor comando para pesquisar arquivos no sistema de arquivos, combase em 
urna yariedade de atributos. Depois de localizar os arquivos, yoce tambempode agir sobre eles (usando 
as opęóes -exec ou -okay) executando todos os comandos que quiser sobre os arquivos. 

Quando voce executa find, ele procura seu sistema de arquivos “ao vivo”, o que faz comque se torne 
mais lento do que locate, mas lhe da urna yisualizaęao atualizada dos arquivos em seu sistema Linux. 
Mas voce tambempode dizer para find comeęar emumdeterminado ponto no sistema de arquivos, 
assim, limitando a area do sistema de arquivos que esta sendo pesquisada, a pesquisa pode ir mais 
rapido. 

Quase todo o atributo de arquivo existente pode ser usado como urna opęao de pesquisa. E possiyel 
pesquisar por nomes de arquivos, posse, permissao, tamanho, data/hora da ultima modificaęao e outros 
atributos. \foce ainda pode usar combinaęóes de atributos. Eis alguns exemplos basicos do uso do 
comando find: 


$ find 
$ find /etc 
# find /etc 
$ find $HOME -ls 


Executado emuma linha sozinha, o comando find encontra todos os arquivos e diretórios abaixo do 
diretório atual. Se voce deseja pesquisar a partir de um determinado ponto na arvore de diretórios, basta 
adicionar o nome do diretório que voce deseja pesquisar (como /etc). Como um usuario comum, find 
nao lhe da permissao especial para encontrar arquivos que sejamlegiyeis somente pelo usuario root. 
Assim, find ira produzir ummonte de mensagens de erro. Executado como usuario root, find /etc 
localizara todos os arquivos sob /etc. 

Urna opęao especial para comando f ind e -ls. Urna longa lista (permissao, posse, tamanho etc.) e 
impressa comcada arquivo quando voce adiciona - ls ao comando find. Essa opęao ira ajuda-lo em 
exemplos posteriores quando voce quiser yerificar se encontrou arquivos que contem a posse, tamanho, 
data/hora da ultima modificaęao, ou outros atributos que voce esta tentando encontrar. 


ta 

;omo um usuario comum, voce pesquisar urna area do sistema de arquivos sobre a qual voce nao tern plena 
lissao para acessartodos os arquivos nele contidos (como o diretório /etc ), voce pode receber um monte de 
sagens de erro quando pesquisar com find. Para se livrar dessas mensagens, direcione erros padrao para 
:v/nuli. Para fazer isso, adicione o seguinte ao finał da linha de comando: 2> /dev/null. 0 2> 






ciona o erro padrao para a opęao seguinte (nesse caso, / dev/nuli, onde a safda e descartada). 


Localizando arquivos por nome 

Para localizar arquivos por nome, voce pode usar as opęóes -name e -iname. Apesąuisa e feita pelo 
nome de base do arquivo, os nomes de diretório nao sao pesquisados por padrao. Para tornar a pesquisa 
mais flexivel, voce pode usar caracteres de correspondencia de arquivo, tais como asteriscos (*) e 
pontos de interrogaęao (?), como nos exemplos a seguir: 

# find /etc -name passwd 

/etc/pam.d/passwd 
/etc/passwd 

# find /etc -iname '*passwd*' 

/etc/pam.d/passwd 

/etc/passwd- 

/etc/passwd.OLD 

/etc/passwd 

/etc/MYPASSWD 

/etc/security/opasswd 

Usando a opęao -name e nenhum asterisco, o primeiro exemplo acima lista todos os arquivos no 
diretório /etc que ternexatamente o nome passwd. Usando - iname emvez disso, voce pode 
localizar o arquivo comqualquer combinaęao de letras maiusculas e minusculas. Usando asteriscos, voce 
pode localizar qualquer nome de arquivo que inclui a palavra passwd. 

Localizando arquivos portamanho 

Se seu disco esta cheio e voce quer saber onde seus maiores arquivos estao, pode pesquisar seu sistema 
pelo tamanho do arquivo. A opęao - size permite pesquisar por arquivos que tern exatamente o tamanho 
selecionado ou que sao menores que ou maiores do que o tamanho selecionado, como voce pode ver nos 
exemplos a seguir: 

$ find /usr/share/ -size +10M 
$ find /mostlybig -size -IM 

$ find /bigdata -size +500M -size -5G -exec du -sh {} \; 

4.IG /bigdata/images/rhel6.img 

606M /NotBackedUp/Fedora-16-i686-Live-Desktop.iso 
560M /NotBackedUp/dance2.avi 


O primeiro exemplo no código anterior encontra arquivos maiores que 10 MB. O segundo encontra os 




arquivos commenos de 1 MB. No terceiro exemplo, estou procurando imagens ISO e arquivos de video 
que estao entre 500 MB e 5 GB. Isso inclui umexemplo da opęao -exec (que descrevo mais adiante) 
para executar o comando du em cada arquivo, a fim de ver seu tamanho. 


Localizando arquivos por usuario 

\bce pode pesquisar por um proprietario particular (-user) ou grupo (-group) ao tentar localizar 
arquivos. Usando -not e -or voce pode refinar sua pesquisa por arquivos associados a usuarios e 
grupos especificos, como pode ver nos exemplos a seguir: 

S find /home -user chris -Is 


131077 

4 

tk - r—r— 

1 

rnegus 

rnegus 379 

Jur 

29 

2010 

./.bashrr 

t find 

/home -user chris 

-or -us 

er joe -ls 





131077 

4 

-jrK - r—r— 

1 

rnegus 

rnegus 379 

Jun 

29 

2010 

./.bashrr 

181022 

4 

~nrr—r— 

1 

]° e 

joe 379 

Jun 

15 

2010 

./.bashrr 

$ fir-d 

/etc 

-group ntp 

-ls 






131438 

4 

drxxrxsr - x 

3 

root 

ntp 4096 

Mar 

9 

22:16 

/etc/ntp 

t fir-d 

/var 

/spool -not 

-user root -ls 





262100 

0 

-rK _ rw- 

1 

rpc 

mail 0 

Jan 

27 

2011 

/ var/spool/mail/rpc 

27B504 

0 

■nrrw- 

1 

Ó oe 

mail 0 

Apr 

3 

2011 

/var/spool/maci/joe 

261230 

0 

■nrrw- 

1 

13599 

mail 0 

Dec 

18 

14:17 

/ var /spool /mail /bill 

277373 

2848 

“rKTK- 

1 

chris 

mail 8254 

Mar 

15 

2011 

/var / spool /mail / 


chris 


O primeiro exemplo gera uma listagemde todos os arquivos no diretório /home que pertencemao 
usuario chris. O exemplo seguinte lista arquivos pertencentes a chris ou j oe. O comando f ind de 
/etc revela todos os arquivos que tern ntp como sua atribuięao primaria de grupo. O ultimo exemplo 
mostra todos os arquivos em /var/spool que nao pertencem a root. \bce pode ver os arquivos 
pertencentes a outros usuarios na saida do exemplo. 

Localizando arquivos por permissao 

Localizar arquivos com permissao e uma excelente maneira de expor as quest5es de seguranęa em seu 
sistema ou descobrir problemas de acesso. Assim como voce mudou as permissóes em arquivos usando 
numeros ouletras (como comando chmod), da mesma forma e possivel localizar arquivos combase no 
numero ouna letra das permissóes, juntamente com as opęóes -perm. (Consulte o Capitulo 4, 
“Movendo-se pelo sistema de arquivos”, para ver como usar numeros e letras com chmod a fim de 
refletir as permissóes de arquivo.) 

Se voce usa numeros para a permissao, como eu faęo abaixo, lembre-se de que os tres numeros 
representam as permissóes para o usuario, o grupo e os outros. Cada umdesses tres numeros varia de 
nenhuma permissao (0) a permissao plena de leitura/gravaęao/execuęao (7), pela soma dos bits de leitura 
(4), gravaęao (2) e execuęao (1). Comumtraęo (-) na frente do numero, todos os tres bits indicados 
devemser localizados; comumsinal positivo (+) na frente do mesmo, qualquer umdos numeros podem 
corresponder a pesquisa para localizar um arquivo. Os numeros completos e exatos devem corresponder 
se nem um hifen nem um sinal de mais for usado. 

Considere os seguintes exemplos: 

$ find /bin -perm 755 -ls 

782884 28 - rwKr - xr - K 1 root root 28176 Mar 10 2011 /bin/echo 


S find /home/chns/ -perm -222 -type d -ls 

1445C3 4 drxxrwxrwx 8 rnegus cnegus 4096 Jun 23 2011 /home/chris/OPEHDIR 



Pesąuisando -perm 7 55, quaisquer arquivos oudiretórios comexatamente permissao rwxr-xr-x 
sao localizados. Usando -perm -222, somente os arquivos que tem permissao de gravaęao para o 
usuario, o grupo e outros sao localizados. Notę que, nesse caso, a opęao -type d e adicionada para 
localizar apenas diretórios. 

S find /nyreadoaly -perm 4-222 -type £ 

685025 0 "rwrłrr— 1 rnegua rnegus 0 Dec 30 16:34 /tap/Vrite/abr 

S fa.nd . -perm -002 -type f -ls 

266230 0 -rw-rw-rw- 1 cnegus cr.egua 0 Dec 30 16:28 ./LINUX_BIBLE/abc 

Usando -perm +222, voce pode localizar qualquer arquivo (-type f) que tenha a permissao de 
gravaęao ativada para o usuario, o grupo ou outros. Vbce pode fazer isso para ter certeza de que todos os 
arquivos sao somente leitura em urna determinada parte do sistema de arquivos (no caso, sob o diretório 
/myreadonly). O ultimo exemplo, -perm +002, e muito util para localizar arquivos que tem 
permissao de gravaęao aberta para “outros”, independentemente da forma como os outros bits de 
permissao estao configurados. 

Localizando arquivos por data e hora 

Data e hora sao armazenadas para cada arquivo quando ele e criado, acessado, quando seu conteudo e 
modificado, ou quando seus metadados sao alterados. Os metadados incluemo proprietario, o grupo, um 
registro de data/hora, o tamanho do arquivo, permissóes e outras informaęóes armazenadas no inode do 
arquivo. \foce pode querer pesquisar alteraęóes nos dados ou nos metadados dos arquivos por qualquer 
umdos seguintes motivos: 

■ \bce simplesmente alterou o conteudo de um arquivo de configuraęao e nao se lembra de qual. 

Entao voce pesquisa em / etc para ver o que mudou nos ultimos 10 minutos: 

$ find /etc/ -rarain -10 

■ \foce suspeita que alguem invadiu seu sistema tres dias atras. Entao voce pesquisa o sistema para 

ver se todos os comandos tiveram seu proprietario ou suas permissóes alteradas nos ultimos tres 
dias: 

$ find /bin /usr/bin /sbin /usr/sbin -ctime -3 

■ \foce quer localizar arquivos no servidor FTP (/var/ftp) e no servidor web (/var/www) que 

nao sao acessados ha mais de 300 dias, e assimver se algo precisa ser excluido: 

$ find /var/ftp /var/www -atime +300 

Como pode constatar a partir dos exemplos, voce pode pesquisar por alteraędes no conteudo ou nos 
metadados ao longo de um determinado numero de dias ou minutos. As opęóes de data/hora (-atime, - 
ctime, e -mtime) permitempesquisar combase no numero de dias desde quando cada arquivo foi 
acessado, alterado outeve seus metadados modificados. As opęóes (-amin, -cmin e -mmin) fazemo 
mesmo em minutos. 

Os numeros que voce fornece como argumentos para as opędes min e time sao precedidos por umhifen 
(para indicar um tempo desde o momento atual ate o numero de minutos ou dias atras) ou um sinal de 
mais (para indicar o tempo a partir do numero de minutos ou dias atras e mais antigos). Sem o hifen e o 



sinal de mais, o numero exato e procurado. 


Usando no te or ao localizararquivos 

Com a opęóes -not e -or, e possivel refinar ainda mais suas pesąuisas. Talvez voce precise 
localizar arquivos pertencentes a um determinado usuario, mas nao atribuidos a um determinado grupo. 
\bce pode querer arquivos maiores do que um determinado tamanho, mas menores do que outro tamanho. 
Ou voce pode querer localizar arquivos pertencentes a qualquer umdos varios usuarios. As opęóes - 
not e -or podemajuda-lo a fazer isso. Considere os seguintes exemplos: 

■ Ha umdiretório compartilhado chamado /var/allusers. Essa linha de comando permite 

localizar arquivos pertencentes a j oe ou chris. 

$ find /var/allusers \( -user joe -o -user chris \) -Xs 

679967 0 -rw-r—r— 1 chris chris 0 Dec 31 12:57 

/yar/allusers/myjoe 

679977 1812 -rw-r—r— 1 joe joe 4379 Dec 31 13:09 
/var/allusers/dict.dat 

679972 0 -rw-r—r— 1 joe sales 0 Dec 31 13:02 

/var/allusers/one 

■ Essa linha de comando procura arquivos pertencentes ao usuario j oe, mas apenas aqueles que nao 

estao atribuidos ao grupo joe: 

$ find /var/allusers/ -user joe -not -group joe -ls 

679972 0 -rw-r —r— 1 joe sales 0 Dec 31 13:02 /var/allusers/one 

■ \foce tambempode adicionar multiplas condięóes sobre suas pesquisas. Aqui, umarquivo deve 

pertencer a j oe e tambemter mais do que 1 MB de tamanho: 

$ find /var/allusers/ -user joe -and -size +1M -ls 

679977 1812 -rw-r--r— 1 joe root 1854379 Dec 31 13:09 
/var/allusers/dict.dat 

Localizando arquivos e executando comandos 

Umdos recursos mais poderosos do comando find e a capacidade de executar comandos sobre 
qualquer arquivo que voce localiza. Com a opęao -exec, o comando que voce usa e executado sobre 
cada arquivo encontrado, semparar para perguntar se esta tudo bem. A opęao -ok vai parar emcada 
arquivo localizado e perguntar se voce deseja executar o comando sobre ele ou nao. 

Avantagemde -ok e que, se voce estiver fazendo algo destrutivo, pode ter certeza de que ira confirmar 
a execuęao do comando sobre cada arquivo individualmente. Asintaxe para -exec e -ok e a mesma: 

$ find [options] -exec command {} \; 

Com -exec ou - ok, voce executa find comqualquer opęao que quiser para localizar os arquivos que 
lhe interessam. Entao, digite a opęao -exec ou -ok, seguida do comando que voce deseja executar em 
cada arquivo. O conjunto de chaves indica onde ler na linha de comando emcada arquivo localizado. 
Cada arquivo pode ser incluido na linha de comando varias vezes, se voce quiser. Para terminar a linha, 



e preciso adicionar urna barra invertida e umponto e virgula ( \;). Eis alguns exemplos: 


■ Esse comando procura qualquer arquivo chamado iptables sob o diretório /etc e inclui o 

nome na saida de umcomando echo: 

$ find /etc -iname iptables -exec echo "I found {}" \; 

I found /etc/bash_completion.d/iptables 
I found /etc/sysconfig/iptables 
I found /etc/rc.d/init.d/iptables 

■ Esse comando localiza todos os arquivos sob o diretório /usr/share que temmais do que 5MB 

de tamanho. Em seguida, ele lista o tamanho de cada arquivo com o comando du. A saida e de 
find, entao, ordenada por tamanho, do maior para o menor. Inserindo -exec, todas as entradas 
encontradas sao processadas, semconfirmaęao: 

$ find /usr/share -size +5M -exec du {} \; | sort -nr 

101608 /usr/share/icons/oxygen/icon-theme.cache 
42636 /usr/share/virtio-win/virtio-win-l.3.3.iso 
20564 /usr/share/fonts/cj kuni-uming/uming.ttc 

■ A opęao -ok permite escolher, um de cada vez, se ou nao o comando que voce insere e executado 

sobre cada arquivo localizado. Por exemplo, voce quer localizar todos os arquivos que 
pertencema j oe no diretório /var/allusers (e seus subdiretórios) e move-los para o 
diretório /tmp/joe: 

# find /var/allusers/ -user joe -ok mv {} /tmp/joe/ \; 

< mv ... /var/allusers/dict.dat > ? 

< mv ... /var/allusers/five > ? y 

Observe no código anterior que voce e questionado sobre cada arquivo localizado antes de ele ser 
movido para o diretório / tmp/joe. \foce simplesmente digita y e pressiona Enter emcada linha para 
mover o arquivo, ou apenas pressiona Enter para ignora-lo. 

Para mais informaęóes sobre o comando find, digite manfind. 


Pesquisando o conteiido de arquivos com grep 

Se quiser localizar os arquivos que contem um termo de pesquisa especifico, voce pode usar o comando 
grep. Com grep, voce pode pesquisar umunico arquivo ou urna estrutura de diretórios inteira de 
arquivos recursivamente. 

Ao pesquisar, voce pode imprimir na tela (saida padrao) cada linha contendo o termo ou apenas listar o 
nome dos arquivos que contem o termo de pesquisa. Por padrao, grep pesquisa fazendo distinęao entre 
maiusculas de minusculas, embora voce tambem possa pesquisar sem essa distinęao. 



Emvez de apenas pesąuisar arquivos, voce tambempode usar grep para pesąuisar a salda padrao. 
Assim, se um comando retorna um monte de texto e voce quer localizar apenas as linhas que contem 
determinado texto, pode usar grep para filtrar apenas o que lhe interessa. 

Eis alguns exemplos de linhas de comando grep, usadas para localizar strings de texto emumoumais 
arquivos: 

$ grep desktop /etc/services 

desktop-ckia 2763/tcp # Desktop DNA 

desktop-dna 2763/udp $ Desktop DNA 

$ grep -i desktop /etc/services 

sco-dtmgr 617/tcp # SCO Desktop Administration Server 

sco-dtmgr 617/udp # SCO Desktop Administration Server 

airsync 2175/tcp * Microsoft Desktop AirSync Protocol 

No primeiro exemplo, um grep para a palavra desktop no arquivo /etc/services revelou duas 
linhas. Pesquisando de novo, utilizando - i para nao diferenciar maiusculas de minusculas (como no 
segundo exemplo), foram reveladas 24 linhas de texto. 

Para pesquisar por linhas que nao contem urna string de texto selecionada, use a opęao -v. No exemplo a 
seguir, todas as linhas do arquivo /etc/services sao exibidas, exceto aquelas que contem o texto 
tcp (sem distinęao entre maiusculas e minusculas): 

$ grep -vi tcp /etc/services 

Para fazer pesquisas recursivas, use a opęao -r e umdiretório como argumento. O exemplo a seguir 
inclui a opęao -1, que apenas lista os arquivos que incluemo texto da pesquisa, semmostrar as linhas 
reais de texto. Essa pesquisa revela arquivos que contem o texto peerdns (sem distinęao entre 
maiusculas e minusculas). 

$ grep -rli peerdns /usr/share/doc/ 

/usr/share/doc/dnsmasq-2.48/setup.html 
/usr/share/doc/initScripts-9.03.23/sysconfig.txt 

O próximo exemplo pesquisa recursivamente o diretório /etc/sysconf ig embusca do termo root. 
Ele lista todas as linhas em cada arquivo sob o diretório que contem esse texto. Para destacar o termo 
root emcada linha, a opęao — color e adicionada. Por padrao, o termo localizado aparece em 
vermelho. 

$ grep -ri --color root /etc/sysconfig/ 

Para pesquisar um termo na saida de um comando, voce pode enviar a saida para o comando grep. 
Nesse exemplo, sei que os endereęos IP sao listados em linhas geradas pelo comando ip que incluem a 
string inet. Entao, uso grep para exibir apenas essas linhas: 


$ ip addr show | grep inet 



inet 127.0.0.1/8 scope host lo 

inet 192.168.1.231/24 brd 192.168.1.255 scope global wlanO 


Resumo 


Ser capaz de trabalhar com arquivos de texto simples e urna habilidade crucial para usar o Linux. Como 
os arquivos de configuraęao e tantos arquivos de documentos estao em formato de texto simples, voce 
precisa se tornar proficiente com um editor de texto para efetivamente usar o Linux. Localizar nomes de 
arquivos e conteudo em arquivos tambem e urna habilidade crucial. Neste capitulo, voce aprendeu a usar 
os comandos locate e f ind para localizar arquivos e grep para pesquisar arquivos. 

O próximo capitulo abrange urna variedade de formas de trabalhar comprocessos. Nele, voce aprende a 
ver os processos que estao em execuęao, executar processos em primeiro e segundo planos e alterar 
processos (enviar sinais). 


Bcercicios 


Use esses exercicios para testar seus conhecimentos emusar o editor de texto vi (ou vim), os comandos 
para localizar arquivos (locate e f ind) e os comandos para pesquisar arquivos (grep). Essas 
tarefas supdem que voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas 
tarefas tambem funcionem em outros sistemas Linux). Se voce empacar, soluęóes para as tarefas sao 
mostrados no Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

L Copie o arquivo /etc/services para o diretório /tmp. Abra o arquivo 

/tmp/services no vim e pesquise o termo WorldWideWeb. Mude isso para exibir 
World Wide Web. 

2 - Encontre o paragrafo seguinte emseuarquivo /tmp/services (se ele nao estiver la, 
escolha um paragrafo diferente) e mova-o para o finał desse arquivo. 

# Notę that it is presently the policy of IANA to assign a 
single well-known 

# port number for both TCP and UDP; hence, most entries here 
have two entries 

# even if the protocol doesn't support UDP operations. 

# Updated from RFC 1700, "Assigned Numbers" (October 1994). 
Not all ports 

# are included, only the morę common ones. 

3 - Usando o modo ex, pesquise cada ocorrencia do termo tcp (com distinęao entre 
maiusculas e minusculas) no seuarquivo /tmp/services e mude-as para WHATEVER. 

4 - Como umusuario regular, pesquise sob o diretório /etc todos os arquivos chamados 
passwd. Redirecione mensagens de erro a partir da sua pesquisa para /dev/null. 





5. Crie umdiretório no seu diretório inicial chamado TEST. Crie tres arquivos nesse diretório 
comos nomes one, two e three, e atribua permissóes plenas de 

leitura/gravaęao/execuęao sobre esses arquivos para todo mundo (usuario, grupo e outros). 
Construa um comando f ind que localize esses arquivos e outros arquivos que tern 
permissóes de gravaęao abertas para os “outros” a partir do seu diretório inicial e abaixo. 

6 - Localize arquivos no diretório /usr/share/doc que nao tenhamsido modificados ha 
mais de 300 dias. 

7 - Crie umdiretório / tmp/FILES. Localize todos os arquivos no diretório /usr/share 
que tenhammais do que 5MB e menos de 10MB e copie-os para o diretório /tmp/FILES. 

8 - Localize todos os arquivos no diretório /tmp/FILES e faęa urna cópia de backup de cada 
arquivo no mesmo diretório. Use o nome de cada arquivo existente e apenas anexe 

. mybackup para criar cada arquivo de backup. 

9 - Instale o pacote kernel-doc no Fedora ou no Red Hat Enterprise Linux. Usando grep, 
pesquise dentro dos arquivos contidos no diretório /usr/share/doc/kernel-doc* 
pelo termo e 10 0 0 (sem distinęao entre maiusculas e minusculas) e listę o nome dos 
arquivos que contenham esse termo. 

10 - Pesquisa pelo termo e 10 0 0 novamente no mesmo local, mas desta vez listę cada linha que 
contemo termo e destaque o termo comcores. 



Gerenciando processos em execuęao 


CAPITUL^) 


NESTE CAPITULO 

Exibindo processos 

Executando processos em primeiro e segundo planos 
Eliminando e reiniciando processos 

A lem de ser um sistema operacional multiusuario, o Linux tambem e multitarefa. Ser Multitarefa 
significa que muitos programas podem ser executados nele ao mesmo tempo. Urna instancia de um 
programa em execuęao e referida como um processo. O Linux fornece ferramentas para listar 
processos em execuęao, monitorar o uso do sistema e parar (ou eliminar) processos quando necessario. 

Apartir de um shell, voce pode carregar processos e, entao, pausar, parar ou elimina-los. \bce tambem 
pode coloca-los em segundo piano e traze-los para o primeiro piano. Esse capitulo descreve ferramentas 
como ps, top, ki 11, j obs e outros comandos para listar e gerenciar processos. 


Entendendo Processos 


Um processo e urna instancia emexecuęao de umcomando. Por exemplo, pode haver umcomando vi no 
sistema. Mas se vi estiver sendo executado por 15 usuarios diferentes, esse comando sera representado 
por 15 diferentes processos emexecuęao. 

Um processo e identificado no sistema por aquilo que e referido como um ID de processo. Esse ID de 
processo e exclusivo do sistema atual. Emoutras palavras, nenhumoutro processo pode usar o mesmo 
numero de ID de um processo que ainda estiver em execuęao. Mas depois que um processo e encerrado, 
outro processo pode reutilizar esse numero. 

Alem de um numero de ID, ha outros atributos associados a um processo. Cada processo, quando 
executado, esta associado a urna conta de usuario e a urna conta de grupo. Essa informaęao aj uda a 
determinar quais recursos do sistema o processo pode acessar. Por exemplo, os processos executados 
pelo usuario root tern muito mais acesso aos arquivos e recursos do sistema do que um processo 
executado por um usuario regular. 

A capacidade de gerenciar os processos em seu sistema e fundamental para um administrador de sistema 
Linux. Ha ocasióes em que “processos desenfreados” (runaway processes ) podem matar o desempenho 




do seu sistema. Encontrar e lidar comesses processos, combase ematributos como memória e uso de 
CPU, sao abordados neste capitulo. 


ta 

andos que exibem informaęóes sobre processos em execuęao obtem a maioria dessas informaęóes a partir de 
)s brutos armazenados no sistema de arquivos /proc. Cada processo armazena suas informaęóes em urn 
iretório /proc, nomeado de acordo com o ID desse processo. Voce pode ver alguns desses dados brutos 
ndo o conteudo de arquivos em urn desses diretórios (usando comandos cat ou less). 


Listando Processos 


A partir da linha de comando, o comando ps e o mais antigo e comumpara listar processos atualmente 
emexecuęao no sistema. O comando top fornece urna abordagem mais orientada para a tela para a 
listagem de processos e tambem pode ser usado para alterar o estado do processo. Se estiver usando o 
desktop GNOMĘ, voce pode usar gnome-system-monitor para fornecer ummeio grafico de 
trabalhar com processos. Esses comandos sao descritos nas próximas seęóes. 

Listando processos com ps 

O utilitario mais comumpara verificar os processos emexecuęao e o comando ps. Use-o para ver quais 
programas estao emexecuęao, os recursos que eles estao usando e quemos esta executando. O seguinte e 
umexemplo do comando ps: 

$ ps u 

OSER PID %CPU %MZM VSZ RSS TTY SIAT START TIME C0MM6ND 

jake 2147 0.0 0.7 1836 1020 ttyl S+ 14:50 0:00 -bash 

3ake 2310 0.0 0.7 2592 912 ttyl R+ 13:22 0:00 ps -j 

Nesse exemplo, a opęao u pede que sejammostrados os nomes de usuario e outras informaęóes, tais 
como o momento em que o processo foi iniciado e o uso de memória e CPU pelos processos associados 
como usuario atual. Os processos descritos sao associados como terminal atual (ttyl). O conceito de 
terminal vem dos velhos tempos, quando as pessoas trabalhavam exclusivamente a partir de terminais de 
caracteres; por isso, um terminal geralmente representava urna unica pessoa emuma unica tela. Agora, 
voce pode ter muitos “terminais” emuma unica tela, abrindo multiplos terminais virtuais ou janelas de 
terminal na area de trabalho. 

Nessa sessao de shell, nao ha muito acontecendo. O primeiro processo exibe que o usuario chamado 
j ake abriu um shell bash após efetuar login. O processo seguinte exibe que j ake executou o comando 
ps u. O dispositivo terminal ttyl esta sendo utilizado para a sessao de login. Acoluna STAT 
representa o estado do processo, com R indicando um processo em execuęao e S representando um 
processo dormente. 







ta 

is outros valores podem aparecer na coluna STAT. Por exemplo, um sinal de mais (+) indica que o processo esta 
ciado com as operaęóes de primeiro piano. 


A coluna USER exibe o nome do usuario que iniciou o processo. Cada processo e representado por um 
numero de ID unico denominado ID de processo (PID). \bce pode usar o PID se alguma vez precisar 
eliminar um processo desenfreado ou enviar outro tipo de sinal para um processo. As colunas %CPU e 
%MEM mostramas percentagens de processador e de memória de acesso aleatório, respectivamente, que o 
processo esta consumindo. 

VSZ (yirtual set size — tamanho da memória yirtual) indica o tamanho do processo de imagem (em 
kilobytes) e RSS (resident set size — tamanho da memória residente) exibe o tamanho do programa na 
memória. Os tamanhos VSZ e RSS podem ser diferentes, porque VSZ e a quantidade de memória alocada 
para o processo, enquanto RSS e a quantidade que esta realmente sendo usada. 

START exibe a hora emque o processo comeęou a rodar e TIME exibe o tempo acumulado de uso do 
sistema. (Muitos comandos consomem pouco tempo da CPU, como refletido por 0:00 para processos que 
ainda nao usaram nem um segundo inteiro de tempo da CPU.) 

Muitos processos executados em um computador nao estao associados a um terminal. Um sistema Linux 
normal tern muitos processos em execuęao em segundo piano. Processos do sistema em segundo piano 
executam tarefas como registrar emlog a atividade do sistema ou ouvir dados provenientes da rede. Eles 
costumam ser iniciados quando o Linux inicializa e sao executados continuamente ate que o sistema seja 
desligado. Para percorrer todos os processos do usuario atual em execuęao no seu sistema Linux, 
adicione abarra vertical (I) e o comando lessaps ux: 

$ ps ux | less 

Para percorrer todos os processos em execuęao para todos os usuarios em seu sistema, use o comando 
ps aux como segue: 

$ ps aux | less 

Urna barra vertical (localizada acima da barra invertida no teclado) permite direcionar a saida de um 
comando para ser a entrada do próximo comando. Nesse exemplo, a saida do comando ps (urna lista de 
processos) e direcionada para o comando less, o que permite que voce veja essas informaęóes pagina 
por pagina. Use a barra de espaęo para ver pagina por pagina e digite q para terminar a lista. \bce 
tambem pode usar as teclas de seta para mover urna linha de cada vez atraves da saida. 

O comando ps tambem pode ser personalizado para exibir colunas selecionadas de informaęao e ordenar 
as informaęóes por urna dessas colunas. Usando a opęao -o, voce pode usar palavras-chave para indicar 
as colunas que deseja listar comps. Por exemplo, o exemplo a seguir lista todos os processos em 
execuęao (-e) e depois segue a opęao -o comtodas as colunas de informaęao que eu quero exibir, 
incluindo: 






O ID do processo (pid), o nome do usuario (user), o ID do usuario (uid), o nome do grupo (group), 
o ID do grupo (gid), a memória virtual alocada (vs z), a memória residente usada (rss) e a linha de 
comando completa que foi executada (comm). Por padrao, a salda e ordenada pelo numero de ID do 
processo. 

5 ps -eo 'pid,user,uid,group,gid,vsz,rss,comm' | less 

PID USER GROUP GID VSZ RSS COMMAND 

1 root root 0 19324 1320 init 

2 root root 0 00 kthreadd 

Se voce quiser ordenar por uma coluna especifica, voce pode usar a opęao sort=. Por exemplo, para 
ver quais processos estao usando mais memória, eu ordenei pelo campo rss. Isso ordenara as linhas 
pelo uso da memória, do mais baixo para o mais alto. Como quero ver as maiores primeiro, coloquei um 
hlfenna frente da opęao para ordenar (sort=-rss). 

$ ps -eo 'pid,user,group,gid,vsz,rss,comm' --sort=-rss | less 
PID USER GROUP GID VSZ RSS COMMAND 

12005 Chris Chris 13597 1271008 522192 firefox 

5412 cnegus cnegus 13597 949584 157268 thunderbird-bin 

25870 cnegus cnegus 13597 1332492 112952 swriter.bin 

Consulte a pagina man do comando ps para obter informaęóes sobre outras colunas de informaęao que 
voce pode visualizar e usar como ordem de classificaęao. 

Listando e alterando processos com top 

O comando top oferece uma maneira orientada para tela de exibir os processos emexecuęao no seu 
sistema. Com top, o padrao e exibir os processos combase emquanto tempo de CPU eles estao 
atualmente consumindo. Mas voce tambempode ordenar por outras colunas. Depois de identificar um 
processo malcomportado, voce tambempode usar top para eliminar (terminar completamente) ou 
repriorizar (“renice”) esse processo. 

Se quiser ser capaz de eliminar ou repriorizar processos, voce precisara executar top como o usuario 
root. Se só quiser exibir processos e, talvez, eliminar ou mudar seus próprios processos, voce pode fazer 
isso como um usuario regular. A Figura 6.1 exibe umexemplo da janela de top: 



fRA6.1 


ndo os processos emexecuęao com top. 


Informaęóes gerais sobre o sistema aparecemna parte superior da saida de top, seguidas por 
informaęóes sobre cada processo emexecuęao (oupelo menos tantos ąuantos caberememsua tela). No 
topo, voce pode ver ha quanto tempo o sistema esta ativo, ąuantos usuarios estao conectados nele e 
ąuanta demanda temhavido sobre o ele no(s) ultimo(s) 1, 5 e 10 minutos. 

Outras informaęóes gerais incluem ąuantos processos (tarefas) estao atualmente em execuęao, ąuanto da 
CPU esta sendo usado e ąuanta memória RAM e swap estao disponiveis e sendo usadas. Depois das 
informaęóes gerais, vem as listas de cada processo, ordenadas pela porcentagem da CPU sendo usado 
por cada processo. Todas essas informaęóes sao exibidas novamente a cada 5 segundos, por padrao. 

A lista que se segue inclui aęóes que voce pode fazer como top para mostrar informaęóes de maneiras 
diferentes e modificar os processos emexecuęao: 

■ Pressione h para ver as opęóes de aj uda e entao pressione ąualąuer tecla para retornar a tela de 

top. 

■ Pressione M para ordenar por uso de memória em vez de CPU e entao pressione P para voltar a 

ordenar por CPU. 

■ Pressione o numero 1 para exibir o uso da CPU de todas as suas CPUs, se voce tiver mais de urna 

CPU em seu sistema. 

■ Pressione R para ordenar inversamente sua saida. 

■ Pressione u e digite um nome de usuario para exibir processos apenas de um usuario especifico. 

Urna pratica comum e usar top para encontrar processos que estao consumindo muita memória ou poder 
de processamento e, entao, agir sobre esses processos de alguma forma. Um processo que consome CPU 
demais pode ser repriorizado para receber menos prioridade sobre os processadores. Um processo de 
memória consumindo muita memória pode ser eliminado. Com top emexecuęao, eis aqui como 
repriorizar ou eliminar um processo: 

■ Repriorizando um processo: Observe o ID do processo que voce deseja repriorizar e pressione r. 

Quando a mensagemdo PID para repriorizar aparecer: digite o ID do processo que voce deseja 
repriorizar. Quando solicitado a informar o valor para repriorizar o PID (Renice PID to value): 
digite um numero entre -19 e 20. (Consulte “Configurando a prioridade sobre o processador com 
nice e renice” neste capitulo para obter informaęóes sobre os significados dos diferentes valores 
de renice.) 

■ Eliminando um processo: Observe o ID do processo que voce deseja eliminar e pressione k. 

Digite 15 para terminar de forma limpa ou 9 para simplesmente eliminar o processo 
imediatamente. (Veja “Eliminando processos comkill e killall” mais adiante neste capitulo, para 
obter mais informaęóes sobre o uso de sinais diferentes que voce pode enviar para processos). 




Listando processos com o System Monitor 

Se voce terno desktop GNOMĘ dispomvel emseu sistema Linux, System Monitor (gnomę -system- 
monitor) esta disponlvel para fornecer urna forma mais grafica de exibir os processos em seu sistema. 
\foce ordena os processos clicando em colunas e pode clicar com o botao direito do mouse nesses 
processos a firn de para-los, elimina-los ou reprioriza-los. 

Para iniciar o System Monitor no desktop GNOMĘ, selecione Applications => System Tools => System 
Monitor. Entao, selecione a guia Processes. A Figura 6.2 exibe umexemplo da janela do System Monitor. 



FRA6.2 


janela System Monitor para yisualizar e alterar processos emexecuęao. 


Por padrao, apenas os processos emexecuęao associados a sua conta de usuario sao exibidos. Esses 
processos sao listados alfabeticamente em primeiro lugar. \bce pode reordenar os processos clicando em 
qualquer umdos cabeęalhos de campo (para frente e invertido). Por exemplo, clique no cabeęalho %CPU 
para ver quais processos estao consumindo mais poder de processamento. Clique no cabeęalho Memory 
para ver quais processos consomem mais memória. 

\foce pode mudar seus processos de varias maneiras clicando no nome de um deles e selecionando urna 
opęao no menu que aparece (ver Figura 6.3, por exemplo). 




FRA6.3 


orize, elimine oupause umprocesso a partir da janela System Monitor. 


Eis algumas das coisas que voce pode fazer com um processo a partir do menu em que voce clicou: 

■ Stop Process — Pausa o processo, assim nenhum processamento ocorre ate que voce selecione 

Continue Process. (Isso e o mesmo que pressionar Ctrl+Z em umprocesso a partir do shell.) 

■ Continue Process — Continua a execuęao de umprocesso pausado. 

■ End Process — Envia um sinal Terminate (15) para um processo. Na maioria dos casos, isso ira 

terminar o processo de forma limpa. 

■ Kill Process — Envia um sinal KILL (9) para um processo, devendo elimina-lo imediatamente, 

independente de isso poder ou nao ser feito de maneira limpa. 

■ Change Priority — Apresenta urna barra deslizante a partir da qual voce pode repriorizar um 

processo. A prioridade normal e 0. Para obter urna prioridade de processador melhor, use um 
numero negativo de -1 a -20. Para ter urna prioridade mais baixa do processador, use um numero 
positivo (0 a 19). Somente o usuario root pode atribuir prioridades negativas, por isso, voce 
precisa fornecer a senha de root quando solicitado, a firn de definir umvalor negativo de nice. 

■ Memory Maps — Permite visualizar o mapa de memória do sistema para ver quais bibliotecas e 

outros componentes estao sendo mantidos na memória para o processo. 

■ Open Files — Permite ver quais arquivos estao sendo mantidos abertos pelo processo. 

\bce pode exibir a execuęao de processos associados com outros usuarios alem de voce próprio. Para 
fazer isso, selecione qualquer processo na tela (basta clicar nele). Entao, na barra de menus, selecione 
Yiew => Ali Processes. \bce só pode modificar os processos que nao possui se for o usuario root ou se 
puder fornecer a senha de root quando solicitado depois de tentar mudar um processo. 

Ha momentos em que voce nao tera o luxo de trabalhar com urna interface grafica. Para mudar os 
processos sem urna interface grafica, ha umconjunto de comandos e teclas que voce pode usar para 
alterar, pausar ou eliminar processos em execuęao. Alguns deles sao descritos a seguir. 


Gerenciando Processos em Primeiro e Segundo Planos 

Se estiver usando Linux em urna rede ou a partir um terminal burro (um monitor que permite entrada de 
texto apenas, com nenhum suporte de interface grafica), seu shell pode ser tudo o que voce tern \hce 
pode estar acostumado a um ambiente grafico em que ha um monte de programas ativos ao mesmo tempo 
para que voce possa alternar entre eles conforme necessario. Essa coisa de shell pode parecer bem 
limitada. 





Embora o shell bash nao inclua uma interface grafica para executar muitos programas de urna só vez, ele 
realmente o deixa mover programas ativos entre o primeiro e o segundo planos. Dessa forma, voce pode 
ter um monte de coisas rodando e seletivamente escolher o que voce quer tratar no momento. 

Ha varias maneiras de colocar um programa ativo em segundo piano. Uma delas e adicionar uma letra E 
comercial (&) ao finał de uma linha de comando quando voce executa-lo. \hce tambempode usar o 
comando at para executar comandos de tal maneira que eles nao estejamconectados ao shell. 

Para parar a execuęao de um comando e coloca-lo em segundo piano, pressione Ctrl+Z. Depois que o 
comando parar, voce pode traze-lo de volta para o primeiro piano para que seja executado (o comando 
f g) ou inicia-lo rodando em segundo piano (o comando bg). Tenha emmente que qualquer comando 
executado em segundo piano pode vomitar salda durante comandos executados posteriormente a partir 
desse shell. Por exemplo, se a salda de um comando aparece a partir de um comando rodando em 
segundo piano durante uma sessao do vi, basta pressionar Ctrl+Lpara redesenhar a tela e se livrar dessa 
salda. 


:a 

evitar que a salda apareęa, voce deve fazer com que qualquer processo executando em segundo piano envie sua 
) para um arquivo ou para nuli (acrescente 2> /dev/null ao finał da linha de comando). 


Iniciando processos em segundo piano 

Se tiver programas que deseja executar enquanto continua a trabalhar no shell, voce pode coloca-los em 
segundo piano. Para colocar um programa em segundo piano no momento de executa-lo, insira uma letra 
Ecomercial (&) no finał da linha de comando, assim: 

$ find /usr > /tmp/allusrfileś & 

[ 3 ] 15971 

Esse exemplo de comando encontra todos os arquivos em seu sistema Linux (a partir de /usr), imprime 
os nomes de arquivo e coloca esses nomes no arquivo / tmp/allusrf ileś. A letra E comercial (&) 
executa essa linha de comando em segundo piano. Observe que o numero da tarefa (Job), [3], e o numero 
de ID do processo, 15971, sao exibidos quando o comando e iniciado. Para verificar os comandos que 
voce tern em execuęao em segundo piano, use o comando j obs, como segue: 

5 3 obs 

[1] Stopped (ety output) vi /tmp/myfile 

[2] Running find /usr -print > /tmp/allusrfileś & 

[3] Running nroff -man /usr/man2/* >/tmp/man2 & 

[4] - Running nroff -man /usr/man3/* >/tmp/mar.3 & 

[5] + Stopped nroff -man /usr/man4/* >/tmp/mar.4 

A primeira tarefa exibe um comando de edięao de texto (vi) que eu coloquei em segundo piano e parei 
pressionando Ctrl+Z enquanto eu estava editando. A tarefa 2 exibe o comando find que acabei de 
executar. As tarefas 3 e 4 mostram comandos nroff atualmente emexecuęao em segundo piano. A tarefa 
5 estava em execuęao no shell (primeiro piano) ate que decidi que muitos processos estavam rodando e 






pressionei Ctrl+Z para interrompe-la ate que alguns processos fossemcompletados. 

O sinal de mais (+) ao lado do numero 5 mostra que esse processo foi o mais recentemente colocado em 
segundo piano. O sinal de menos (-) ao lado do numero 4 mostra que esse processo foi colocado em 
segundo piano antes da tarefa em segundo piano mais recente. Como o trabalho 1 requer entrada de 
terminal, ele nao pode ser executado em segundo piano. Como resultado, ele ficara parado (Stopped) 
ate ser trazido para o primeiro piano novamente. 


:a 

ver o ID do processo para a tarefa em segundo piano, acrescente uma opęao -1 (a letra L minuscula) ao 
ando jobs. Se digitar ps, voce pode usar o ID do processo para descobrir qual comando e para uma tarefa de 
ndo piano esperifico. 


Utilizando comandos em primeiro e em segundo piano 

Continuando com o exemplo, voce pode trazer qualquer um dos comandos na lista de tarefas para o 
primeiro piano. Por exemplo, para editar my file novamente, digite: 

$ fg %1 

Como resultado, o comando vi se abre novamente. Todo o texto e como era quando voce parou o 
trabalho vi. 


inęao 

s de colocar um processador de texto, ou programa semelhante, em segundo piano, certifique-se de salvar seu 
ivo. E facil esquecer-se de que ha um programa em segundo piano, e voce perdera seus dados se sair ou o 
putadorfor reiniciado mais tarde. 


Para referenciar uma tarefa em segundo piano (cancelar ou traze-la para o primeiro piano), use um sinal 
de porcentagem (%), seguido pelo numero da tarefa. Vbce tambempode utilizar o seguinte para 
referenciar um trabalho em segundo piano: 

■ % — Referenda o comando mais recente colocado em segundo piano (indicado pelo sinal de mais 

quando voce digita o comando j obs). Essa aęao coloca o comando no primeiro piano. 

■ %string — Referenda uma tarefa em que o comando comeęa com uma determinada string de 

caracteres. A string nao deve ser amblgua. (Emoutras palavras, digitar %vi quando ha dois 
comandos vi em segundo piano resulta emuma mensagemde erro.) 

■ % ?string — Referencia uma tarefa em que a linha de comando contem uma string em qualquer 

ponto. A string nao deve ser ambigua ou a correspondencia falhara. 









■ %- - — Referencia a tarefa anterior parada antes da mais recentemente parada. 

Se um comando estiver parado, voce pode inicia-lo novamente para rodar em segundo piano usando o 
comando bg. Por exemplo, considere a tarefa 5 da lista de tarefas no exemplo anterior: 

[5]+ Stopped nroff -nan man4/* >/tmp/mar.4 


Digite o seguinte: 

$ bg %5 

Depois disso, o trabalho e executado em segundo piano. Sua entrada j obs aparece assim: 

[5] Running nroff -nan rnan4/* >/tjtp/2car.4 s, 

Eliminando e Repriorizando Processos 

Assim como pode mudar o comportamento de um processo utilizando ferramentas graficas como o 
System Monitor (descrito anteriormente neste capitulo), voce tambem pode usar ferramentas de linha de 
comando para eliminar um processo ou mudar sua prioridade de CPU. O comando ki 11 pode enviar um 
sinal kill para qualquer processo a firn de encerra-lo, supondo que voce tempermissao para fazer isso. 
Ele tambem pode enviar sinais diferentes para um processo para de outra maneira alterar seu 
comportamento. Os comandos nice e renice podem ser usados para definir ou alterar a prioridade de 
um processo sobre um processador. 

Eliminando processos com kill e killall 

Embora geralmente usado para terminar um processo emexecuęao, os comandos kill e killall 
podem realmente ser usados para enviar qualquer sinal valido para um processo em execuęao. Alem de 
fazer um processo terminar, um sinal pode dizer para um processo reler os arquivos de configuraęao, 
pausar (parar) ou continuar depois de urna pausa, para citar algumas possibilidades. 

Sinais sao representados por numeros e nomes. Sinais que voce pode enviar mais comumente a partir de 
um comando incluem SIGKILL (9), SIGTERM (15) e SIGHUP (1). O sinal padrao e SIGTERM, que 
tenta encerrar um processo de forma limpa. Para eliminar um processo imediatamente, voce pode usar 
SIGKILL. O sinal SIGHUP instrui um processo a reler seus arquivos de configuraęao. SIGSTOP pausa 
um processo, enquanto SIGCONT continua um processo parado. 

Diferentes processos respondema diferentes sinais. Mas processos nao podem bloquear os sinais 
SIGKILL e SIGSTOP. A Tabela 6.1 exibe exemplos de alguns sinais (digite man 7 signals para 
ler sobre outros sinais disponiveis): 

TABELA 6.1 Os Sinais Disponiveis no Linux 


ai 


Numero 


Descrięao 





GHUP 

1 

Hangup detectado no terminal de controle ou 
eliminaęao do processo de controle. 

GINT 

2 

Interrompe a partir do teclado. 

GQUIT 

3 

Sai do teclado. 

GABRT 

6 

Sinal de abortar a partir de abort (3). 

GKILL 

9 

Sinal de eliminaęao. 

GTERM 

15 

Sinal de termino. 

GCONT 

19,18,25 

Continua, se parado. 

GSTOP 

17,19,23 

Para o processo. 


Observe que ha varios numeros de sinais possiveis para SIGCONT e SIGSTOP porque diferentes 
numeros sao usados em diferentes arquiteturas de computador. Para arquiteturas x86 e Power PC, use o 
valor medio. O primeiro valor normalmente funciona para Alphas e Sparcs, enquanto o ultimo e para 
arquitetura MIPS. 

Usando kill para sinalizar processos por PID 

Utilizando comandos como ps e top, voce pode encontrar processos para os quais deseja enviar um 
sinal. Entao, voce pode usar o ID de processo dele como urna opęao para o comando kill, juntamente 
como sinal que voce deseja enviar. 

Por exemplo, voce executa o comando top e ve que o processo bigcommand e o que mais esta 
consumindo suas capacidades de processamento: 

PID USER PR NI VIRT RES SHR S %CPU %MEM TIKE+ CCHKRND 

10432 chns 20 0 47lm 122m 18m S 99.5 3.2 77:01.76 bigcommand 

Aqui, o processo bigcommand esta consumindo 99,9% da CPU. Abce decide que quer elimina-lo para 
que outros processos tenhamchance de usar a CPU. Se voce usar o ID de processo do processo 
bigcommand emexecuęao, eis alguns exemplos do comando kill que voce poderia usar para 
eliminar esse processo: 

$ kill 10432 
$ kill -15 10432 
$ kill -SIGKILL 10432 

O sinal padrao enviado por kill e 15 (SIGTERM); portanto, os dois primeiros exemplos ternexatamente 
os mesmos resultados. Ocasionalmente, um SIGTERM nao elimina um processo, de modo que um 
SIGKILL pode ser necessario para elimina-lo. Emvez de SIGKILL, voce poderia usar -9. 

Outro sinal util e SIGHUP. Alguns processos de servidor, tais como o processo httpd, que fornece 
servięos web, vai responder a um sinal SIGHUP (1) relendo seus arquivos de configuraęao. De fato, o 
comando service httpd reload efetivamente envia SIGHUP para processos httpd rodando no 
seu sistema para dizer-lhes que os arquivos de configuraęao precisam ser lidos novamente. Assim, se o 
processo httpd tinha umPID de 1833, voce pode usar esse comando para faze-lo ler os arquivos de 



configuraęao novamente: 


$ kill -1 1833 

Usando killall para sinalizar processos por nome 

Como comando killall, voce pode sinalizar processos por nome emvez de ID do processo. A 
vantagem e que voce nao tern de olhar para o ID de processo do processo que voce quer eliminar. A 
desvantagempotencial e que voce pode eliminar mais processos do que o desejado se nao for cuidadoso. 
(Por exemplo, di gitar killall bash pode eliminar varios shells que voce nao quer eliminar). 

Assimcomo o comando kill, killall usa SIGTERM (sinal 15), se voce nao digitar explicitamente 
umnumero de sinal. Tambemcomo ocorre com kill, voce pode enviar qualquer sinal que quiser para o 
processo que indicar com killall. Por exemplo, se vir umprocesso chamado testme rodando em 
seu sistema e quiser elimina-lo, voce pode simplesmente digitar o seguinte: 

$ killall -9 testme 

O comando killall pode ser particularmente util se voce quiser eliminar varios comandos que terno 
mesmo nome. 

Configurando a prioridade sobre o processador com nice e renice 

Quando o kernel Linux tenta decidir quais processos em execuęao obtem acesso as CPUs do sistema, urna 
das coisas que ele leva em conta e o valor de nice configurado sobre o processo. Cada processo em 
execuęao no sistema temumvalor de nice entre -20 e 19. Por padrao, o valor de nice e configurado 
como 0. Eis alguns fatos sobre yalores de nice: 

■ Quanto menor o valor de nice, mais acesso a CPU o processo tera. Em outras palavras, quanto 

menos prioridade um processo tiver, menos atenęao da CPU ele recebera. Portanto, umvalor de 
nice de -20 recebe mais atenęao do que um processo comumvalor de nice de 19. 

■ Um usuario comumpode definir yalores de nice somente entre 0 e 19. Valores negatiyos nao sao 

permitidos. 

■ Um usuario comum pode configurar o valor de nice mais alto, nao mais baixo. Assim, por exemplo, 

se um usuario configurar o valor de nice de um processo como 10 e depois quiser configura-lo de 
volta para 5, essa aęao falhara. Da mesma forma, qualquer tentativa de configurar umvalor 
negativo falhara. 

■ Um usuario comum somente pode configurar o valor de nice nos processos dele próprio. 

■ O usuario root pode configurar o valor de nice em qualquer processo com qualquer valor valido, 

para cima ou para baixo. 

\bce pode usar o comando nice para executar um comando com um determinado valor de nice. Urna vez 
que um processo esta emexecuęao, voce pode alterar o valor de nice usando o comando renice, 
juntamente como ID de processo do processo, como no exemplo que se segue: 



# nice +5 updatedb & 


O comando updatedb e utilizado para gerar o banco de dados de localizaęao manualmente coletando 
nomes de arquivos emtodo o sistema de arquivos. Nesse caso, eu só queria que updatedb fosse 
executado em segundo piano (&) e nao interrompesse as tarefas que estao sendo feitas por outros 
processos no sistema. Executei o comando top para me certificar de que o valor de nice foi configurado 
corretamente: 

PID USER PR NI VIRT RES SHR S %CP'J %MEM TIKE+ COMMAND 

20284 root 25 5 53.7m 932 €44 D 2.7 0.0 0:00.9€ updatedb 

Observe que, na coluna NI, o valor de nice e configurado como 5. Como o comando foi executado como 
usuario root, o usuario root pode diminuir o valor de nice mais tarde usando o comando renice. 
(Lembre-se de que um usuario comum nao pode reduzir o valor de nice nem nunca configura-lo como um 
numero negativo.) Veja como voce alteraria o valor de nice para o comando updatedb que acabamos 
de executar para -5 

# renice -n -5 20284 

Se voce executou o comando top novamente, pode notar que o comando updatedb esta no topo ou 
próximo do topo da lista de processos consumindo tempo de CPU porque voce deu a ele prioridade para 
obter mais atenęao da CPU. 


Resumo 


Mesmo em um sistema Linux em que nao ha muita atividade, normalmente ha dezenas ou ate mesmo 
centenas de processos em execuęao em segundo piano. Usando as ferramentas descritas neste capitulo, 
voce pode yisualizar e gerenciar os processos em execuęao no seu sistema. O gerenciamento de 
processos inclui visualiza-los de diferentes maneiras, executa-los em primeiro ou segundo piano, e 
elimina-los ou reprioriza-los. 

No próximo capitulo, voce aprendera a combinar comandos e funęóes de programaęao em arquivos que 
podem ser executados como Scripts de shell. 


Exercicios 


Use esses exercicios para testar seus conhecimentos emyisualizaęao de processos emexecuęao e, entao, 
altera-los mais tarde eliminando-os ou alterando a prioridade do processador (valor de nice). Essas 
tarefas supdem que voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas 
tarefas tambem funcionem em outros sistemas Linux). Se voce empacar, soluęóes para as tarefas sao 
mostradas no Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

L Listę todos os processos emexecuęao no sistema, mostrando umconjunto completo de 
colunas. Redirecione essa saida para o comando less de modo que voce possa percorrer a 





lista de processos pagina por pagina. 

2 - Listę todos os processos emexecuęao no sistema e ordene-os pelo nome do usuario que 
executa cada processo. 

3 - Listę todos os processos emexecuęao no sistema e apresente as seguintes colunas de 
informaęao: ID do processo, nome do usuario, nome do grupo, tamanho da memória virtual, 
tamanho da memória residente e o comando. 

4 - Execute o comando top para ver os processos emexecuęao no sistema. Ordene por uso da 
CPU e consumo da memória, do maior para o menor e vice-versa. 

5 - Inicie o processo de gedit a partir de seu desktop. Certifique-se de executa-lo sob o nome 
de usuario com que voce efetuou login. Use a janela System Monitor para eliminar esse 
processo. 

6 - Execute o processo gedit novamente. Desta vez, usando o comando kill, envie um sinal 
para o processo gedit que o faęa pausar (parar). Tente digitar algumtexto na janela do 
gedit e certifique-se de que nenhumtexto ainda aparece. 

7 - Use o comando killall para dizer ao comando gedit que voce parou no exercicio 
anterior para continuar trabalhando. Verifique se o texto que voce di gita depois que gedit 
foi interrompido agora aparece na janela. 

8 - Instale o comando xeyes (no Red Hat Enterprise Linux, ele esta no pacote xorg-xll- 
apps). Execute o comando xeyes cerca de 20 vezes em segundo piano para que 20 
janelas xeyes apareęamna tela. Mova o mouse ao redor e notę os olhos observaremo 
ponteiro do mouse. Quando voce se cansar dessa diversao, elimine todos os processos 
xeyes em um comando usando killall. 

9 - Como um usuario regular, execute o comando gedit para que ele inicie comumvalor de 
nice de 5. 

10 - Usando o comando renice, altere o valor de nice do comando gedit que voce acabou 
de iniciar para 7. Utilize qualquer comando que quiser para verificar se o valor atual de 
nice para o comando gedit ja esta configurado como 7. 



CAPITU 



Escrevendo Scripts 
de Shell Simples 

NESTE CAPITULO 

Trabalhando com Scripts de shell 
Aritmetica em Scripts de shell 
Executando loops e cases em Scripts de shell 
Criando Scripts de shell simples 

V oce nunca concluiria nenhum trabalho se precisasse digitar todos os comandos que devem ser 

executados em seu sistema Linux quando ele e iniciado. Da mesma forma, voce pode trabalhar de 
maneira mais eficiente se agrupar conjuntos de comandos que executa o tempo todo. Os Scripts de 
shell podem cuidar dessas tarefas. 

Um script de shell e um grupo de comandos, funęóes, variaveis, ou qualquer outra coisa que voce pode 
usar emum shell. Esses itens sao digitados emumarquivo de texto simples que pode ser executado como 
um comando. A maioria dos sistemas Linux utiliza Scripts de shell de inicializaęao do sistema durante a 
inicializaęao do sistema para executar comandos necessarios para fazer os servięos funcionarem \hce 
pode criar seus próprios Scripts de shell para automatizar tarefas que precisa fazer regularmente. 

Este capitulo fornece urna visao geral rudimentar do funcionamento interno dos Scripts de shell e como 
eles podem ser utilizados. \foce aprendera como Scripts de shell sao responsaveis pelas mensagens que 
rolam no console do sistema durante a inicializaęao e como Scripts simples podem ser aproveitados para 
umrecurso de agendamento (como cron ou at) a firn de simplificar as tarefas administrativas. 


Entendendo Scripts do Shell _ 

Voce nunca teve urna tarefa que precisava realizar repetidamente e que exigia muito trabalho de digitaęao 
na linha de comando? Nunca pensou: “Sera que eu nao poderia escrever apenas um comando para fazer 
tudo isso?” Talvez um script de shell seja o que voce esta procurando. 

Scripts de shell sao os equivalentes a arquivos em lote do MS-DOS e podem conter longas listas de 
comandos, controle de fluxo complexo, avaliaę5es aritmeticas, variaveis e funęóes definidas pelo usuario 




e testes de condięao sofisticados. Scripts de shell sao capazes de lidar comtudo, desde uma simples 
linha de comando ate algo tao complexo ąuanto inicializar seu sistema Linux. 

De fato, como voce lera neste capitulo, os sistemas Linux fazem exatamente isso. Eles usam Scripts para 
verificar e montar todos os sistemas de arquivo, configurar seus consoles, configurar a rede, carregar 
todos os servięos do sistema e, por firn, fornecer uma tela de login. Embora dezenas de shells diferentes 
estejamdisponiveis no Linux, o shell padrao e chamado bash, o Bourne Again Shell. 

Executando e depurando Scripts de shell 

Uma das principais vantagens dos Scripts de shell e que eles podem ser abertos em qualquer editor de 
texto para ver o que fazem Mas a grandę desvantagem e que os Scripts de shell grandes ou complexos 
costumam executar mais lentamente do que os programas compilados. Ha duas maneiras basicas de 
executar um script de shell: 

■ O nome do arquivo e usado como um argumento para o shell (como em bash my script). 

Nesse metodo, o arquivo nao precisa ser executavel; ele apenas contem uma lista de comandos de 
shell. O shell especificado na linha de comando e utilizado para interpretar os comandos no 
arquivo de script. Isso e mais comumpara tarefas simples e rapidas. 

■ O script de shell tambem pode ter o nome do interpretador colocado na primeira linha do script 

precedido por # ! (como em # ! /bin/bash) e ter o bit de execuęao do arquivo contendo o 
script configurado (usando chmod +x nome_do_arquivo). \bce pode entao executar o script 
como qualquer outro programa em seu caminho simplesmente digitando o nome do script na linha 
de comando. 

Quando os Scripts sao executados de qualquer uma dessas duas maneiras, as opęóes para o programa 
podem ser especificadas na linha de comando. Qualquer coisa seguinte ao nome do script e referida 
como um argumento de linha de comando. 

Como ocorre ao escrever qualquer software, nao ha substituto para um proj eto claro e bem pianej ado e 
muitos comentarios. O sinal de jogo da velha (#) precede os comentarios e pode ocupar ate uma linha 
inteira ou residir na mesma linha após o código de script. E melhor implementar Scripts de shell mais 
complexos em etapas, certificando-se de que a lógica e correta em cada passo antes de continuar. Eis 
algumas boas dicas concisas para garantir que as coisas funcionem como esperado durante os testes: 

■ Emalguns casos, voce pode acrescentar um comando echo no inicio das linhas dentro do corpo 

de umloop e coloca-lo entre aspas. Desta maneira, emvez de executar o código, voce pode ver o 
que sera executado semfazer quaisquer alteraęóes permanentes. 

■ Para alcanęar o mesmo objetivo, voce pode colocar comandos echo de teste por todo o código. 

Se essas linhas forem impressas, voce sabe que o desvio lógico correto esta sendo conduzido. 

■ \foce pode usar set -x próximo do inicio do script para exibir cada comando que e executado ou 

carregar seus Scripts usando: 

$ bash -x myscript 



■ Como os Scripts uteis tem urna tendencia a crescer ao longo do tempo, manter seu código legivel a 
medida emque progride e extremamente importante. Faęa o maximo que puder para manter a 
lógica de seu código limpa e facil de seguir. 


Entendendo variaveis de Shell 

Muitas vezes, dentro de um script de shell, voce quer reutilizar determinados itens de informaęao. 

Durante o curso de processamento do script de shell, o nome ou numero representando essa informaęao 
pode mudar. Para armazenar as informaęóes utilizadas por um script de shell, de tal maneira que ele 
possa ser reutilizado facilmente, voce pode configurar variaveis. Os nomes de variaveis dentro de Scripts 
de shell diferenciam maiusculas e minusculas e podem ser definidos da seguinte maneira: 

NAME =value 

Aprimeira parte de urna variavel e o nome de variavel e a segunda parte e o conjunto de valores para 
esse nome. Certifique-se de que NAME e value estejamgrudados ao sinal de igual, semespaęos. 
Variaveis podem ser atribuidas a partir de constantes, como texto, numeros e sublinhados. Isso e util para 
inicializar yalores ou poupar trabalho de digitaęao para constantes longas. Os exemplos a seguir mostram 
variaveis definidas emuma stringde caracteres (CITY) e umvalor numerico (PI) 

CITY="Springfield" 

PI=3.14159265 

As variaveis podem conter a saida de um comando ou urna sequencia de comandos. Yfoce pode fazer isso 
precedendo o comando com um sinal de cifrao e parentese de abertura e seguindo-o com um parentese de 
fechamento. Por exemplo, MYDATE=$ (datę) atribui a saida do comando datę a variavel MYDATE. 
Colocar o comando entre crases (') pode ter o mesmo efeito. Nesse caso, o comando datę e executado 
quando a variavel e configurada e nao cada vez que a variavel e lida. 


>capando caracteres de shell especiais 

nha em mente que caracteres como cifrao ($), crase ('), asterisco (*), ponto de 
clamaęao (!) e outros tem um significado especial para o shell, como voce vera a medida 
e avanęar neste capitulo. Em algumas ocasioes, voce quer que o shell use um significado 
pecial desses caracteres e outras vezes nao. Por exemplo, se digitasse echo $home, o 
ell pensaria que voce quis exibir o nome de seu diretório inicial (armazenado na variavel 
:ome) na tela (como /home/chris), porque um $ indica que um nome de variavel se segue 
3sse caractere. 


i voce guisesse exibir literalmente $home, precisaria “escapar” (isto e, tratar literalmente) o 




Digitar echo '$home' ou echo \$home exibiria $home literalmente na tela. Portanto, se 
ce quer que o shell interprete um unico caractere literalmente, preceda-o com uma barra 
ertida (\). Para ter um conjunto de caracteres interpretados literalmente, coloque-os entre 
pas simples ('). 

uso de aspas duplas e um pouco mais complicado. Coloque um conjunto de texto entre 
pas se quiser que todos exceto alguns caracteres sejam usados literalmente. Por exemplo, 
m o texto colocado entre aspas, cifrao ($), crases (') e pontos de exclamaęao (!) sao 
erpretados especialmente, mas outros caracteres (como um asterisco) nao o sao. Digite 
sas duas linhas para ver a salda diferente (mostrada a direita): 

echo ’SHCM2 *** 'datę" SHCME *** 'datę' 

echo ”$HOME 'datę'" /home/chris *** Tue Kar 20 16:56:52 EDT 2012 


Usar variaveis e uma ótima maneira de obter informaęóes que podem mudar de um computador para 
outro ou de um dia para outro. O exemplo a seguir configura a saida do comando uname -n para a 
variavel MACHINĘ. Entao, uso parenteses para configurar NUM_FILES como o numero de arquivos no 
diretório atual redirecionando (|) a saida do comando ls para o comando de contagemde palavras (wc 
- 1 ). 


MACHINE='uname -n' 

NUM_FILES=$(/bin/ls | wc -1) 

As variaveis tambem podem conter o valor de outras variaveis. Isso e util quando voce tern de preservar 
umvalor que mudara a firn de poder usa-lo mais tarde no script. Aqui, BALANCE e configurado para o 
valor da variavel CurBalance 

BALANCE="$CurBalance" 


ta 

tribuir variaveis, use apenas o nome da variavel (por exemplo, balance). Ao referenciar uma variavel, o que 
fica que voce quer o valor dela, preceda-a com um sinal de cifrao (como em $ CurBalance). 0 resultado 
e ultimo e que voce obtem o valor da variavel e nao o nome dela em si. 


Parametros de shell posicionais especiais 

Existemvariaveis especiais que o shell atribui para voce. Um conjunto de variaveis comumente usadas e 
chamado de parametros posicionais ou argumentos de linka de comando e e referenciado como $0, $1, 
$2, $3... $n. $0 e especial e recebe o nome usado para chamar o script; os outros recebemos valores dos 
parametros passados na linha de comando, na ordem em que apareceram. Por exemplo, digamos que voce 
tern um script de shell chamado my script que contemo seguinte: 


#!/bin/bash 







# Script to echo out command-line arguments 

echo "The first argument is $1, the second is $2." 

echo "The command itself is called $0." 

Alistagema seguir mostra o que aconteceria se voce executasse esse comando com foo e bar como 
argumentos: 

$ myscript foo bar 

The first argument is foo, the second is bar. 

The command itself is called /home/chris/bin/myscript. 

Como voce pode ver, o parametro posicional $ 0 e o caminho completo ou caminho relativo para 

myscript, $1 e foo e $2 e bar. 

Outra variavel, $#, informa ąuantos parametros seu script recebeu. No exemplo, $# seria 2. Avariavel 
$ @ armazena todos os argumentos inseridos na linha de comando. Outra variavel de shell especial 
particularmente util e $ ?, que recebe o status de saida do ultimo comando executado. Em geral, um valor 
de zero significa que o comando foi encerrado com sucesso e qualquer coisa diferente de zero indica um 
erro de qualquer tipo. Para urna lista completa das variaveis de shell especiais, consulte a pagina man do 
bash. 

Lendo parametros 

Usando o comando read, voce pode pedir informaędes ao usuario e, entao, armazenar e usar essas 
informaęóes mais tarde em seu script. Eis um exemplo de um script que usa o comando read: 

#!/bin/bash 

read -p "Type in an adjective, noun and verb (past tense): " adj1 
nounl verbl 

echo "He sighed and $verbl to the elixir. Then he ate the $adjl 
$nounl ." 

Nesse script, depois de pedir umadjetivo, um substantivo e umverbo, o usuario deve inserir palavras 
que sao entao atribuidas as variaveis adj 1, nounl e verbl. Essas tres variaveis sao incluidas emuma 
frase tola, que e exibida na tela. Se o script se chamasse sillyscript, eis umexemplo de como isso 
poderia ser executado: 

$ sillyscript 

Type in an adjective, noun and verb (past tense): hairy football 
danced 

He sighed and danced to the elixir. Then he ate the hairy football. 

Expansao de parametros no bash 

Como mencionado anteriormente, se quiser o valor de urna variavel, voce deve precede-la com um $ 

(por exemplo, $CITY). Essa e apenas urna abreviaęao para a notaęao $ { CITY} ; as chaves sao 



utilizadas quando o valor do parametro tem de ser colocado ao lado de outro texto sem um espaęo. O 
bash temregras especiais que permitem expandir o valor de uma variavel de diferentes maneiras. 
Conhecer todas as regras e provavelmente um exagero para uma rapida introduęao a Scripts de shell, mas 
a lista a seguir apresenta algumas construęóes comuns que provavelmente voce vera em Scripts de bash 
que encontrador no seu sistema Linux. 

■ $ {var: -value } — Se a variavel estiver embranco ou vazia, expande isso para valor. 

■ $ { var#pattern } — Corta a correspondencia mais curta para o padrao da frente do valor de var. 

■ $ { var##pattern } — Corta a correspondencia mais longa para o padrao a partir da frente do 

valor de var. 

■ $ { var%pattern } — Corta a correspondencia mais curta para o padrao a partir do finał do valor 

de var. 

■ $ { var%%pattern } — Corta a correspondencia mais longa para o padrao a partir do finał do valor 

de var. 

Experimente digitar os seguintes comandos a partir de um shell para testar como a expansao de 
parametros funciona: 

$ THIS="Example" 

$ THIS=${THIS:-"Not Set"} 

$ THAT=${THAT:-"Not Set"} 

$ echo $THIS 

Example 

$ echo $THAT 

Not Set 

Nos exemplos aqui, a variavel THIS e configurada inicialmente coma palavra Example. Nas próximas 
duas linhas, as variaveis THIS e THAT sao configuradas com seus valores atuais ou Not Set, se nao 
estiverematualmente configuradas. Observe que, como acabei de configurar THIS coma string 
Example, quando ecoo o valor de THIS ele aparece como Example. Mas THAT nao foi configurado, 
ele aparece como Not Set. 


ta 

3Sto desta seęao, mostro como variaveis e comandos podem aparecer em um script de shell. Para experimentar 
quer um desses exemplos, porem, voce pode simplesmente digita-los em um shell, como mostrado no exemplo 
rior. 


No exemplo a seguir, MYFILENAME e definido como /home/digby/myf ile . txt. Emseguida, a 
variavel FILE e configurada como myf ile . txt e DIR e configurada como /home/digby. Na 
variavel NAME, o nome do arquivo e cortado para simplesmente myf ile; portanto, na variavel 
EXTENSION, a extensao do arquivo e configurada como txt. (Para experimentar estes, voce pode 






digita-los na linha de comando, como no exemplo anterior, e, entao, exibir o valor de cada variavel para 
ver como ela esta configurada.) Digite o código a esąuerda. O materiał do lado direito descreve a aęao. 


MYFILENAME="/home/digby/myfile.txt" — Define o valor de 
MYFILENAME 

FILE=${MYFILENAME##*/ } - FILE torna-se "myfile.txt" 
DIR=${MYFILENAME%/ *} — DIR torna-se "/home/digby" 
NAME=${FILE% .*} — NAME torna-se "myfile" 

EXTENSION=${FILE##* .} - EXTENSION torna-se "txt" 


Fazendo aritmetica em scripts de Shell 

O bash usa variaveis nao tipadas, o que significa que normalmente ele trata variaveis como strings ou 
texto, mas pode altera-las no processo, se quiser. A menos que voce diga a ele de outra maneira com 
declare, suas variaveis sao apenas ummonte de letras para o bash. Mas quando voce comeęar a tentar 
fazer aritmetica com elas, o bash as converte para numeros inteiros, se puder. Isso torna possivel fazer 
alguma aritmetica relativamente complexa embash. 

Aritmetica inteira pode ser feita usando o comando o let predefinido ou por meio dos comandos 
externos expr oubc. Depois de configurar o valor da variavel BIGNUM como 102 4, todos os tres 
comandos que se seguemarmazenariamo valor 64 na variavel RESULT. O comando bc e umaplicativo 
de calculadora que esta disponivel na maioria das distribuięóes Linux. O ultimo comando recebe um 
numero aleatório entre 0 e 10 e ecoa os resultados de volta para voce. 

BIGNUM=1024 

let RESULT=$BIGNUM/16 

RESULT='expr $BIGNUM / 16' 

RESULT='echo "$BIGNUM / 16" | bc' 

let foo=$RANDOM%l0; echo $foo 

Outra maneira de aumentar urna variavel e usar a notaęao $ ( () ) com ++I adicionados para incrementar 
o valor de I . Experimente di gitar o seguinte: 

$ 1=0 

$ echo The value of I after increment is $ ( (++I) ) 

$ echo The value of I before and after increment is $ ( (I++) ) and $1 

Repita qualquer umdesses comandos para continuar a aumentar o valor de $ I. 


ta 

lanto a maioria dos elementos de scripts de shell sao relativamente livres (em que os espaęos em branco, como 
aracteres de espaęo ou tabulaęóes, sao insignificantes), let e expr tratam o espaęamento de maneira 
cular. 0 comando let insiste em nenhum espaęo entre cada operando e o operador matematico, enquanto a 






xe do comando expr exige um espaęo em branco entre cada operando e seu operador. Em oposięao a estes, 
lao e exigente com relaęao a espaęos, mas pode ser mais complicado de usar, porque faz aritmetica de ponto 
antę. 


Para ver uma lista completa dos tipos de aritmetica que voce pode executar usando o comando let, 
digite help let no prompt do bash. 

Usando construęóes de programaęao em Scripts de Shell 

Uma das caracteristicas que torna os Scripts de shell tao poderosos e que sua implementaęao de 
construęóes de loop e execuęao condicional e semelhante a encontrada nos mais complexos Scripts e 
linguagens de programaęao. \óce pode utilizar varios tipos de loops diferentes, dependendo de suas 
necessidades. 

As instruęóes “if...then” 

Aconstruęao de programaęao mais comumente usada e a execuęao condicional, ou a instruęao if . Ela e 
usada para executar as seguintes aęóes apenas sob certas condięóes. Ha diversas variaęóes de if para 
testar varios tipos de condięóes. 

O primeiro exemplo de if. . . then testa se VARIABLE esta configurada como o numero 1 . Se 
estiver, entao o comando echo e usado para dizer que ela esta configurada como 1. A instruęao fi entao 
indica que a instruęao if esta completa e que o processamento pode continuar. 

VARIABLE=1 

if [ $VARIABLE -eq 1 ] ; then 

echo "The variable is 1 " 
fi 

Em vez de usar -eq, e possivel usar o sinal de igualdade (=), como mostrado no exemplo a seguir. O = 
funciona melhor para a comparaęao de valores de string, enquanto -eq costuma ser melhor para a 
comparaęao de numeros. Usando a instruęao else, palavras diferentes podemser ecoadas se o criterio 
da instruęao if nao for atendido ($STRING = "Friday"). Tenha emmente que e uma boa pratica 
colocar strings entre aspas. 

STRING="Friday" 

if [ $STRING = "Friday" ] ; then 

echo "WhooHoo. Friday." 

else 

echo "Will Friday ever get here?" 
fi 

\foce tambempode inverter os testes com um ponto de exclamaęao (!). No exemplo a seguir, se STRING 
nao for Mon da y, entao "At least it's not Monday" e ecoado. 






STRING="FRIDAY" 

if [ "$STRING" != "Monday" ] ; then 

echo "At least it's not Monday" 

fi 

No exemplo a seguir, elif (que significa “else if’) e usado para testar uma condięao adicional (por 
exemplo, se f ilename e umarquivo ouumdiretório). 

filename="$HOME" 

if [ -f "$filename" ] ; then 

echo "$filename is a regular file" 

elif [ -d "$filename" ] ; then 

echo "$filename is a directory" 

else 

echo "I have no idea what $filename is" 
fi 

Como voce pode ver nos exemplos anteriores, a condięao que voce esta testando e colocada entre 
colchetes [ ]. Quando uma expressao de teste e avaliada, ela retorna umvalor de 0, o que significa que 
e verdade, ouuml, o que significa que ela e falsa. Observe que as linhas de eco sao recuadas. O recuo e 
opcional e feito apenas para facilitar a leitura do script. 

A Tabela 7.1 lista as condięóes que sao testaveis e e uma referenda muito util. (Se estiver com pressa, 
voce pode di gitar help test na linha de comando para obter as mesmas informaęóes.) 


TABELA 7.1 

Operadores para Express5es de Teste 

erador 

0 que esta sendo testado? 

arquivo 

O arquivo existe? (o mesmo que -e) 

arquivo 

O arquivo e um dispositivo de bloco especial? 

arquivo 

O caractere de arquivo e especial (por exemplo, um dispositivo de 
caracteres)? Utilizado para identificar linhas seriais e dispositivos 
terminais. 

arquivo 

O arquivo e um diretório? 

arquivo 

O arquivo existe? (o mesmo que -a) 

arquivo 

O arquivo existe e e regular (por exemplo, nao e um pipę, soquete, 
redirecionamento, arquivo de link ou dispositivo)? 

arquivo 

O arquivo tern o bit set-group-id configurado (SGID)? 

arquivo 

O arquivo e um link simbólico? (o mesmo que -L) 

arquivo 

O arquivo tern sticky bit configurado? 

arquivo 

O arquivo e um link simbólico? 



string 

O comprimento da string e maior do que 0 byte? 

arquivo 

Voce possui o arquivo? 

arquivo 

O arquivo e um pipę nomeado? 

arquivo 

O arquivo e legivel por voce? 

arquivo 

O arquivo existe e ele e maior que 0 byte? 

arquivo 

O arquivo existe e ele e um soquete? 

fd 

O descritor de arquivo esta conectado a um terminal? 

arquivo 

O arquivo tern o bit set-user-id (SUID) configurado? 

arquivo 

O arquivo e gravavel por voce? 

arquivo 

O arquivo e executavel por voce? 

string 

O tamanho da string e de 0 (zero) bytes? 

prl -a expr2 

A primeira e a segunda expressoes sao verdadeiras? 

prl -o expr2 

Qual das duas expressoes e verdadeira? 

quivol -nt arquivo2 

O primeiro arquivo e mais novo do que o segundo (utilizando o 
registro de data/hora de modificaęao)? 

quivol -ot arquivo2 

O primeiro arquivo e mais velho do que o segundo (utilizando o 
registro de data/hora de modificaęao)? 

quivol -ef arquivo2 

Os dois arquivos estao associados por um link (um link fisico [hard 
link], ou um link simbólico)? 

rl = var2 

A primeira variavel e igual a segunda variavel ? 

rl -eq var2 

A primeira variavel e igual a segunda variavel ? 

rl -ge var2 

A primeira variavel e maior do que ou igual a segunda variavel? 

rl -gt var2 

A primeira variavel e maior do que a segunda variavel? 

rl -le var2 

A primeira variavel e menor do que ou igual a segunda variavel? 

rl -lt var2 

A primeira variavel e menor do que a segunda variavel? 

rl != var2 

A primeira variavel e diferente da segunda variavel? 

rl -ne var2 

A primeira variavel e diferente da segunda variavel? 


Ha tambem um metodo especial abreviado para a realizaęao de testes que podem ser uteis para aędes de 
um unico comando. No exemplo a seguir, as duas barras yerticais (| |) indicamąue, se o diretório nao 
existir (-d dirname), o script deve criar o diretório (mkdir $dirname). 

# [ test ] || aęao 

# Executa um comando simples se o teste for falso 
dirname="/tmp/testdir" 

[ -d "$dirname" ] || mkdir "$dirname" 



Emvez de barras verticais, voce pode usar dois caracteres “E comercial” (&&) para testar se algo e 
verdade. No exemplo a seguir, umcomando esta sendo testado para ver se ele inclui pelo menos tres 
argumentos de linha de comando. 

# [ teste ] && {acęao} 

# Executa um comando simples se o teste for verdadeiro 

[ $# -ge 3 ] && echo "There are at least 3 command linę arguments." 

\bce pode combinar os operadores & & e | | para fazer um rapido if-then-else de urna linha. O seguinte 
exemplo testa se o diretório representado por $dirname ja existe. Se ele existir, urna mensagemdiz que 
o diretório ja existe. Se ele existir nao, a instruęao cria o diretório: 

# dirname=meudiretorio 

# [ -e $dirname ] && echo $dirname ja existe || mkdir $dirname 

0 comando case 

Outra construęao bastante utilizada e o comando case. Semelhante a um switch emlinguagens de 
programaęao, esse comando pode substituir varias instruęóes if aninhadas. Eis a forma geral da 
instruęao case: 

case "VAR" in 
Resultadol) 

{ corpo };; 

Resultado2) 

{ corpo };; 

*) 

{ corpo } ;; 
esac 

Entre outras coisas, voce pode usar o comando case para ajudar emseus backups. A instruęao case a 
seguir testa as tres primeiras letras do dia atual (case 'datę +%a' in). Entao, dependendo do dia, 
um diretório de backup espedfico (BACKUP) e urna unidade de fita (TAPE) sao configurados. 



4 Nossa VAR nao preci3a ser urna variavel, 

4 tamten pode ser a salda de um comando 
4 Realiza uma aęao com base no dia da semana 
case 'datę +%a' in 
"Mon”) 

BACKUP=/home/myproject/dataO 
XA?E=/dev/rftO 

4 Notę o uso de dois pontos e vlrgulas para terminar cada opęao 

t 9 

4 Notę o uso do ”I” para guerer dizer ”ou" 

"Tue" I ”Thu”) 

BACKUP=/home/myproject/datal 

XAPE=/dev/rftl 

r t 

"Wed" I "Fri”) 

BACKUP=/home/myproject/data2 

XA?E=/dev/rft2 

9 9 

4 Nao faz backups no finał da semana. 

*> 

BACKUP=”none” 

XA?E=/dev/null 

9 9 

esac 

O asterisco (*) e utilizado como um“pega tudo”, semelhante a palavra-chave default na linguagemde 
programaęao C. Neste exemplo, se nenhuma das outras entradas for encontrada ate o finał do loop, o 
asterisco e usado e o valor de BACKUP se torna nonę. Observe o uso de esac, ou case, de tras para 
frente, para terminar a instruęao case. 

0 loop “for...do” 

Loops sao usados para executar aęóes repetidamente ate que urna condięao seja atendida ou ate que todos 
os dados tenhamsido processados. Umdos loops mais usados e o for . . . do. Ele itera atraves de urna 
lista de valores, executando o corpo do loop para cada elemento na lista. A sintaxe e alguns exemplos sao 
aqui apresentados: 

for VAR in LISTA 

do 

{ corpo } 

done 

O loop for atribui os valores em LIST a VAR, umde cada vez. Entao, para cada valor, o corpo em 
chaves entre do e done e executado. VAR pode ser qualquer nome de variavel e LIST pode ser 
composta de praticamente qualquer lista de valores ou qualquer coisa que gere urna lista. 

for NUMBER in 0123456789 
do 

echo O numero e $NUMBER 
done 

for FILE in '/bin/ls' 
do 

echo $FILE 


done 



\bce tambem pode escrever dessa maneira, que e um pouco mais limpa: 

for NAME in John Paul Ringo George ; do 

echo $NAME e meu Beatle favorito 

done 

Cada elemento de LIST e separado do seguinte por espaęos embranco. Isso pode causar problemas se 
voce nao tiver cuidado, pois alguns comandos, como ls -1, geram saida de multiplos campos por linha, 
cada um separado por um espaęo embranco. A string done termina a instruęao for. 

Se voce e um fiel programador em C, o bash permite que use a sintaxe C para controlar seus loops: 

LIMIT=10 

# Parenteses duplos, e nenhum $ em LIMIT mesmo sendo uma variavel! 
for ( (a=l; a <= LIMIT ; a++)) ; do 

echo "$a" 
done 

Os loops “while...do” e “untiL.do” 

Duas outras possiveis construędes de iteraęao sao o loop while ... do e o loop until. . . do. A 
estrutura de cada uma e apresentada aqui: 

while condięao until condięao 

do do 

{ corpo ) { corpo ) 

done done 

A instruęao while executa enquanto a condięao e verdadeira. A instruęao until executa ate que a 
condięao seja verdade — em outras palavras, enquanto a condięao e falsa. 

Eis umexemplo de umloop while que ira gerar a saida do numero 0123456789: 


N=0 

while [ $N -lt 10 ] ; do 

echo -n $N 
let N=$N+1 
done 

Outra maneira de produzir o numero 0123456789 e usar umloop until como a seguir: 


N=0 

until [ $N -eq 10 ] ; do 

echo -n $N 
let N=$N+1 
done 


Experimentando alguns programas uteis de manipulaęao 



de texto 


O bash e grandę e temmuitos comandos predefinidos, mas geralmente precisa de alguma ajuda para fazer 
algo realmente util. Alguns dos programas comuns mais uteis que voce vera sendo utilizados sao grep, 
cut, tr, awk e sed. Tal como acontece comtodas as melhores ferramentas do UNIX, a maioria desses 
programas e projetada para trabalhar coma entrada padrao e a salda padrao, de modo que voce pode 
facilmente utiliza-los com redirecionamentos e Scripts de shell. 

O generał regular expression parser 

O nome generał regular expression parser (grep) - analisador de expressao geral regular soa 
intimidante, mas grep e apenas urna maneira de localizar padróes emarquivos outexto. Pense nisso 
como urna ferramenta de pesquisa util. Ganhar experiencia com express5es regulares e um grandę 
desafio, mas depois de dominar o assunto, voce pode fazer muitas coisas uteis com ate as formas mais 
simples. 

Por exemplo, voce pode exibir urna lista de todas as contas de usuarios regulares usando grep para 
pesquisar todas as linhas que contemo texto /home no arquivo /etc/passwd, como a seguir: 

$ grep /home /etc/passwd 

Ou voce pode localizar todas as variaveis de ambiente que comeęam com HO usando o seguinte 
comando: 

$ env | grep "HO 


ta 

ial" no código anterior e o caractere de circunflexo real, nao o que voce vai ver comumente para um backspace, 
Digite ", H e O (a letra maiuscula) para ver os itens que comeęam com as letras maiusculas HO. 


A firn de localizar urna lista de opędes para usar com o comando grep, digite man grep. 

Remova seęóes de linhas de texto (cut) 

O comando cut pode extrair campos de urna linha de texto ou de arquivos e e muito util para analisar 
arquivos de configuraęao do sistema em pedaęos faceis de digerir. \bce pode especificar o separador de 
campo que pretende utilizar e os campos que voce quer, ou pode quebrar urna linha combase embytes. 

O exemplo a seguir lista todos os diretórios de usuarios em seu sistema. Essa linha de comando grep 
redireciona urna lista de usuarios regulares do arquivo /etc/passwd e depois exibe o sexto campo (- 
f 6) delimitado com um caractere de dois-pontos (-d' :'). O hifenno finał instrui cut a ler a partir da 
entrada padrao (a partir do redirecionamento). 

$ grep /home /etc/passwd | cut -d'-f6 - 






Traduza ou exclua caracteres (tr) 

O comando tr e umtradutor baseado em caracteres que pode ser usado para substituir umcaractere ou 
conjunto de caracteres por outro ou para remover um caractere de urna linha de texto. 

O exemplo a seguir traduz todas as letras maiusculas para letras minusculas e exibe as palavras mixed 
upper and lower case como resultado: 

$ FOO="Mixed UPpEr aNd LoWeR cAsE" 

$ echo $FOO | tr [A-Z] [a-z] 

mixed upper and lower case 

No próximo exemplo, o comando tr e usado emuma lista de nomes de arquivos para renomear os 
arquivos na lista de modo que quaisquer tabulaęóes ou espaęos (como indicado pela opęao 
[ :blank: ] ) contidos emumarquivo sao traduzidos emsublinhados. Tente executar o seguinte código 
em um diretório de teste: 

for file in * ; do 

f='echo $file | tr [:blank:] [_]' 

[ "$file" = "$f" ] | mv -i - "$file" "$f" 

done 

Oeditordefluxo(sed) 

O comando sed e umeditor simples de script e, portanto, pode realizar apenas edięóes simples, como 
remover linhas de texto que correspondem a um determinado padrao, substituir um padrao de caracteres 
por outro e assimpor diante. Para se ter urna melhor ideia de como Scripts sed funcionam, nao ha 
substituto para a documentaęao Online, mas aqui estao alguns exemplos de usos comuns. 

\foce pode usar o comando sed para fazer basicamente o que eu fiz anteriormente como exemplo grep: 
pesquise no arquivo /etc/pass wda palavra home. Aqui, o comando sed varre todo o arquivo 

/etc/passwd home, pesquisa a palavra home e imprime qualquer linha que contema palavra 

home . 

$ sed -n '/home/p' /etc/passwd 

Neste exemplo, sed pesquisa o arquivo somef ile . txt e substitui cada ocorrencia da stringMac por 
Linux. Observe que a letra g e necessaria no firn do comando para fazer comque a substituięao de 
todas as ocorrencias de Mac emcada linha sejamalteradas para Linux. (Caso contrario, apenas a 
primeira ocorrencia de Mac em cada linha e alterada.) A saida e, entao, enviada para o arquivo 
fixed_file . txt. A saida de sed vai para stdout e, emseguida, esse comando redireciona a 
saida para um arquivo por seguranęa. 

$ sed 's/Mac/Linux/g' somefile.txt > fixed_file.txt 

\foce pode obter o mesmo resultado usando umredirecionamento: 



$ cat somefile.txt | sed 's/Mac/Linux/g' > fixed_file.txt 

Procurando por umpadrao e substituindo-o por umpadrao nulo, voce exclui o padrao original. Este 
exemplo examina os conteudos do arquivo somef ile . txt e substitui espaęos embranco extras no 
finał de cada linha (s/ *$) por nada (//). Os resultados vao para o arquivo f ixed_f ile . txt. 

$ cat somefile.txt | sed 's/ *$//' > fixed_file.txt 

Usando Scripts de Shell simples 

As vezes o script mais simples pode ser o mais util. Se voce digitar a mesma sequencia de comandos 
repetidamente, faz sentido armazenar esses comandos (urna vez!) emumarquivo. As seęóes a seguir 
oferecem um par de simples, mas uteis, Scripts de shell. 

Usta telefon i ca 

Essa ideia foi transmitida de geraęao em geraęao de antigos hacks do UNIX. E realmente muito simples, 
mas emprega varios dos conceitos que acabamos de apresentar. 

#!/bin/bash 

# (@)/ph 

# A very simple phonebook 

# Type "ph new name number" to add to the list, or 

# simply type "ph name" to obtain a telephone number 

PHONELIST=~/.phonelist.txt 

# If there is no command linę parameter ($#), there is 

# a problem, so ask about what they are talking. 

if [ $# -lt 1 ] ; then 

echo "What phone number do you want? " 
exit 1 

fi 

# Do you want to add a new phone number? 

if [ $1 = "new" ] ; then 

shift 



echo $* » 5PHONELIST 
echo $* adćed co datafcase 
exit 0 
fi 

# No. But does the file still have something in it? 

# This may be the first time that we use it, after all. 
if [ ! -s SPH0NEII5T ] ; then 

echo "No number in the phone book yet! ” 
exit 1 
else 

grep -i -q ”$*" 5PH0NELIST # Search the file silently 

if [ $? -ne 0 ] ; then # Did we find something? 

echo "Sorry, but that name wa3 not found in the list." 
exit 1 
else 

grep -i "$*" $PHCNELIST 
fi 
fi 

exit D 

Entao, se voce criou o arquivo de lista telefónica como ph em seu diretório atual, pode digitar o seguinte 
a partir do shell para testar seu script ph: 

$ chmod 755 ph 

$ ./ph new "Mary Jones" 608-555-1212 

Mary Jones 608-555-1212 added to database 

$ ./ph Mary 

Mary Jones 608-555-1212 

O comando chmod torna o script ph executavel. O comando . /ph executa o comando ph a partir do 
diretório atual coma opęao new. Isso acrescenta Mary Jones como o nome e 608-555-1212 como o 
numero de telefone ao banco de dados ($HOME/ . phone . txt). O comando ph em seguida pesąuisa no 
banco de dados o nome de Mary e mostra a entrada de telefone para Mary. Se o script funcionar, 
adicione-o a um diretório emseucaminho (como $HOME/bin). 

Script de backup 

Como nada funciona para sempre e erros acontecem, os backups sao apenas um fato da vida quando se 
trata de dados de computador. Esse simples script faz backup de todos os dados nos diretórios iniciais de 
todos os usuarios de seu sistema Fedora ou RHEL. 

#!/bin/bash 

# (@)/my_backup 

# Um script de backup muito simples 

# 

# 

Change the TAPE device to match your system. 

# Check /var/log/messages to determine your tape device. 

# You may also need to add support scsi-tape to your kernel. 

TAPE=/dev/rftO 

# 

Rewind the $TAPE tape device 



mt $TAPE rew 

# Get a list of home directories 
HOMES='grep /home /etc/passwd | cut -f6 -d': " 

# Back up the data in this directory 
tar cvf $TAPE $HOMES 

# Rewind and eject the tape. 
mt $TAPE rewoffl 


Resumo 


Escrever Scripts de shell lhe da a oportunidade de automatizar muitas de suas tarefas mais comuns de 
administraęao de sistema. Este capitulo cobriu comandos e funęóes comuns que voce pode usar em 
Scripts com o shell bash. Ele tambem forneceu alguns exemplos concretos de Scripts para fazer backups e 
outros procedimentos. 

No próximo capitulo, voce deixa os recursos do usuario e passa a examinar tópicos relacionados com a 
administraęao do sistema. O Capitulo 8 aborda como se tornar o usuario root e como usar comandos 
administrativos, monitorar arquivos de log e trabalhar com arquivos de configuraęao. 


Bcercicios 


Use estes exercicios para testar seus conhecimentos emescrever Scripts de shell simples. Essas tarefas 
supdem que voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas 
tambem funcionem em outros sistemas Linux). Se voce empacar, soluęóes para as tarefas sao mostradas 
no Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

1 - Crie umscript no seu diretório $HOME/bin chamado myownscript. Quando o 
script e executado, ele deve apresentar informaęoes que se parecemcomo seguinte: 

Today is Sat Dec 10 15:45:04 EST 2011. 

You are in /home/joe and your host is abc.example.com. 

Naturalmente, voce precisa ler a data/hora atual, seu diretório de trabalho atual e seu 
hostname. Alem disso, inclua comentarios sobre o que o script faz e indique que o script 
deve ser executado como shell /bin/bash. 

2 - Crie um script que le os tres parametros posicionais na linha de comando, atribui os 
parametros aos nomes de variavel ONE, TWO e THREE, respectivamente, e, entao, gera 
essa informaęao no seguinte formato: 

There are X parameters that include Y. 

The first is A, the second is B, the third is C. 

Substitua X pelo numero de parametros e Ypor todos os parametros inseridos. Entao, 
substitua A pelo conteudo da variavel ONE, B pela variavel TWO e C pela variavel 
THREE. 





3 - Crie um script que solicita aos usuarios o nome da rua e da cidade em que eles 
cresceram. Atribua cidade e rua as variaveis chamadas mytown e mystreet e envie- 
as com urna frase que exiba (naturalmente, $mystreet e $mytown aparecerao como 
a cidade e a rua reais que o usuario digitar): 

The Street I grew up on was $mystreet and the town was 
$mytown 

4 - Crie um roteiro chamado myos que pergunta ao usuario, “Qual e seu sistema 
operacional favorito?” Envie para a saida urna frase insultante se o usuario digitar 
Windows ou Mac. Responda “Ótima escolha!” se o usuario digitar Linux. Para 
qualquer outra coisa diga “E <o ąue foi digitado> um sistema operacional?” 

5 - Crie um script que itera pelas palavras alce, vaca, ganso e porco, usando um loop for. 
Exiba cada urna dessas palavras no finał da linha de “Tenho um....” 
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CAPITUIJ) 


Aprendendo administraęao 
de sistema 

NESTE CAPITULO 

Fazendo administraęao grafica 
Utilizando o login de root 

Entendendo comandos administrativos, arquivos de configuraęao e arquivos de log 
Trabalhando com dispositivos e sistemas de arquivos 

O Linux, como outros sistemas baseados em UNIX, foi concebido para ser utilizado por mais de urna 
pessoa ao mesmo tempo. Os recursos multiusuario permitemąue muitas pessoas tenhamcontas emum 
unico sistema Linux, comseus dados mantidos em seguranęa, longe de outros. A multitarefa permite que 
muitas pessoas executem varios programas no computador ao mesmo tempo, comcada pessoa sendo 
capaz de executar mais de um programa. Protocolos de rede sofisticados e aplicativos tornam possivel 
para um sistema Linux estender seus recursos aos usuarios e computadores em rede ao redor do mundo. A 
pessoa designada para gerenciar todos os recursos de um sistema Linux e chamada de administrador do 
sistema. 

Mesmo que voce seja a unica pessoa a utilizar um sistema Linux, a administraęao do sistema ainda esta 
configurada para ser separada do uso do computador. Para fazer a maioria das tarefas administrativas, 
voce precisa estar conectado como usuario root (tambem chamado de superusuańo ) ou temporariamente 
obter a permissao de root. Os usuarios comuns que nao tern permissao de root nao podem mudar ou, em 
alguns casos, nem mesmo ver, algumas das informaęóes de configuraęao de um sistema Linux. Em 
particular, recursos de seguranęa como senhas armazenadas sao protegidos da visao geral. 

Como a administraęao do sistema Linux e um assunto extenso, este capitulo foca apenas os principios 
gerais. Em particular, ele examina algumas das ferramentas basicas que voce precisa para administrar um 
sistema Linux de um computador pessoal ou de um servidor de pequeno porte. Alem do basico, este 
capitulo tambem ensina como trabalhar com sistemas de arquivos e monitorar a configuraęao e 
desempenho de seu sistema Linux. 


Entendendo a administraęao do sistema 




Separar o papel do administrador de sistema do papel de outros usuarios temyarios efeitos. Para um 
sistema que e usado por muitas pessoas, limitar quem pode gerencia-lo permite que voce mantenha-o 
mais seguro. Um papel administrativo separado tambem impede que outras pessoas danifiquem 
acidentalmente seu sistema quando estao apenas usando-o para escrever um documento ou navegar na 
internet. 

Se voce e o administrador de um sistema Linux, geralmente faz login com urna conta de usuario regular e, 
entao, solicita privilegios administrativos quando precisa deles. Isso geralmente e feito com urna das 
seguintes opęóes: 

■ Comando su — Muitas vezes su e usado para abrir um shell como usuario root. Com esse shell 

aberto, o administrador pode executar varios comandos e depois sair para voltar para um shell 
como um usuario regular. 

■ Comando sudo — Com sudo, um usuario regular tern priyilegios de root, mas apenas quando 

executa o comando sudo . Depois de executar esse comando com sudo, o usuario e 
imediatamente retornado a um shell e estara atuando como o usuario regular novamente. 

■ Janelas graficas — Muitas janelas graficas de administraęao, as quais podem ser iniciadas a 

partir do menu System ou Applications, podem tambem ser iniciadas por um usuario regular. 
Quando priyilegios de root sao necessarios, a senha de root sera solicitada. 

Tarefas que podem ser feitas apenas pelo usuario root tendem a ser aquelas que afetam o sistema como 
umtodo ou sua seguranęa ou saude. A seguir, apresentamos urna lista de caracteristicas comuns que um 
administrador de sistema devera gerenciar: 

■ Sistemas de arquivos — Quando voce instala o Linux, a estrutura de diretórios esta configurada 

para tornar o sistema utilizayel. Mas se mais tarde voce quiser adicionar armazenamento extra ou 
mudar o layout do sistema de arquivos, precisa de priyilegios administrativos para fazer isso. 
Alem disso, o usuario root tern permissao para acessar os arquivos de qualquer usuario. Como 
resultado, o usuario root pode copiar, mover ou alterar arquivos de qualquer outro usuario — um 
privilegio necessario para fazer cópias de backup do sistema de arquivos por quest5es de 
seguranęa. 

■ Instalaęao de software — Como os softwares maliciosos podem danificar seu sistema ou torna-lo 

inseguro, voce precisa ter priyilegios de root para instalar softwares de modo que estejam 
disponiveis para todos os usuarios de seu sistema. Os usuarios regulares ainda podem instalar 
algum software em seus próprios diretórios e podem listar informaęóes sobre os softwares de 
sistema instalados. 

■ Contas de usuario — Somente o usuario root pode adicionar e remover contas de usuario e de 

grupo. 

■ Interfaces de rede — Costumava ser totalmente de responsabilidade do usuario root configurar 

interfaces de rede, bemcomo iniciar e parar essas interfaces. Agora, muitos desktops Linux 
permitem que usuarios regulares iniciem e parem interfaces de rede a partir de sua area de 
trabalho usando o NetWork Manager. 

■ Servidores — Configurar seryidores web, de arquivos, de nome de dominio, de e-mail e dezenas 



de outros servidores requer privilegios de root, assimcomo iniciar e parar os servięos. Muitas 
vezes, servięos executados como usuarios nao root e conteudo, como paginas da web, podem ser 
adicionados a servidores por usuarios nao-root se voce configurar seu sistema para permitir isso. 

■ Recursos de seguranęa — A configuraęao de recursos de seguranęa, como firewalls e listas de 
acesso de usuario, geralmente e feita pelo usuario root. Tambem e de responsabilidade do usuario 
root monitorar como os servięos estao sendo usados e se certificar de que os recursos do servidor 
nao se esgotemnemsejamabusados. 

A maneira mais facil de comeęar a administraęao do sistema e usando algumas ferramentas de 
administraęao grafica. 


Usando ferramentas de administraęao grafica _ 

Muitos sistemas Linux vem com ferramentas graficas simplificadas para administraęao. Se voce e um 
usuario casual, essas ferramentas muitas vezes permitem que voce faęa tudo o que precisa para 
administrar seu sistema semeditar arquivos de configuraęao ou executar comandos de shell. 

Umconjunto de ferramentas graficas que yemcomos sistemas Fedora e Red Hat Enterprise Linuxpode 
ser carregado a partir do submenu Administration do menu System ou a partir da linha de comando. A 
maioria das ferramentas do Fedora e do RHEL que sao carregadas a partir da linha de comando comeęa 
coma string system-conf ig (como system-conf ig-network). 

Essas ferramentas system-conf ig requerem permissao de root. Se estiyer conectado como um 
usuario comum, voce deve di gitar a senha de root antes de a janela do aplicatiyo de interface grafica do 
usuario (GUI) iniciar ou, como em certos casos, quando voce solicitar para fazer alguma atividade 
especial. 

Urna vez que voce digitou a senha, procure um conjunto de chaves (RHEL 5), como ilustrado na Figura 
8.1, ou umicone de cracha amarelo (RHEL 6) no lado superior direito do painel, indicando que voce tern 
autorizaęao de root. Clique no icone para remoyer a autorizaęao. Caso contrario, a autorizaęao 
desaparecera após alguns minutos. Embora o icone de chaves ou cracha seja exibido, yoce pode abrir 
qualquer aplicatiyo GUI administratiyo semter de di gitar a senha noyamente. 




RA 8.1 


:one de chaves aparece no painel superior, enąuanto o privilegio esta aberto para ferramentas de trabalho 
iistrativas. 


A lista a seguir descreve muitas das ferramentas graficas que voce pode usar para administrar um sistema 
Fedora ou Red Hat Enterprise Linux (alguns existem apenas no Fedora). Inicie essas janelas a partir do 
submenu Administration no menu System O nome do pacote que devera ser instalado para obter o 
recurso e mostrado entre parenteses. As seguintes ferramentas graficas estao disponiveis no Fedora: 

■ DomainName System (system-conf ig-bind) — Cria e configura zonas se seu computador 

estiver atuando como um servidor DNS. 

■ HTTP (system-conf ig-httpd) — Configura seu computador como umservidor Web 

Apache. 

■ NFS (system-conf ig-nf s) — Configura diretórios de seu sistema para serem 

compartilhados comoutros computadores em sua rede, utilizando o servięo NFS. 

■ Bootloader (system-conf ig-boot) — Se tiver varios sistemas operacionais emseu 

computador, ou multiplos kernels Linux disponiveis para inicializar no Linux, voce pode usar a 
tela Boot Configuration para escolher qual inicializar por padrao. Por exemplo, e possivel ter um 
Fedora, um SUSE e um Windows XP, todos no mesmo disco rigido. \foce pode escolher qual 
iniciara automaticamente (depois de um determinado numero de segundos), se nenhum for 
selecionado explicitamente. 

■ Root Password (system-conf ig-rootpassword) — Altera a senha de root. 

■ Display (system-conf ig-display) — Altera as configuraęóes do desktop do seuX 

Window System, incluindo cor e resoluęao para seu monitor. \bce tambem pode escolher as 
configuraęóes da płaca de video e do monitor. 

■ Samba NFS (system-conf ig-samba) — Configura o compartilhamento de arquivos 

Windows (SMB). (Para configurar outros recursos do Samba, voce pode usar a janela SWAT). 

As seguintes ferramentas graficas estao disponiveis no Fedora e no Red Hat Enterprise Linux: 

■ Services (system-conf ig-services) — Exiba e altere os servięos que estao emexecuęao 

emseu sistema Fedora emdiferentes niveis de execuęao da janela Service Configuration. 

■ Add/Remove Software (PackageKit) — Inicie a janela Add/Remove Software para encontrar, 

adicionar e remover software associado a repositórios de software configurados para seu 
sistema. 

■ Authentication (authconf ig-gtk) — Altere a forma como os usuarios sao autenticados no 

sistema. Normalmente, Shadow Passwords (senhas de sombra) e MD5 Passwords (senhas MD5) 




estao selecionadas. Mas se a rede suporta autenticaęao LDAP, Kerberos, SMB, NIS ou Hesiod, 
voce pode selecionar para usar qualquer um desses tipos de autenticaęao. 

■ Datę & Time (system-conf ig-date) — Defina a data e a hora ouescolha ter umservidor 

NTP para manter a data/hora do sistema em sincronia. 

■ Firewall (system-conf ig-f irewall) — Configure o firewall para permitir ounegar 

servięos para computadores da rede. 

■ Language (system-conf ig-language) — Selecione o idioma padrao usado para o sistema. 

■ Logical Volume Management (system-conf ig-lvm) — Gerencie suas partiędes LVM. 

■ NetWork (system-conf ig-network) — Gerencie suas interfaces de rede atuais e adicione 

interfaces. 

■ Printing (system-conf ig-printer) — Configure impressoras locais e de rede. 

■ SELinux Management (policycoreutils-gui) — Defina os modos de imposięao de 

seguranęa e a politica padrao do SELinux. 

■ Users & Groups (system-conf ig-users) — Adicione, visualize e altere contas de usuario 

e de grupo do seu sistema Fedora. 

Outros utilitarios administrativos estao disponiveis a partir do menu Applications no painel superior. 
Selecione o submenu System Tools para ver algumas das seguintes opęoes: 

■ Configuration Editor (gconf-editor) — Edite diretamente o banco de dados de configuraęao 

do GNOMĘ. 

■ Disk Usage Analyzer (gnome-utils) — Exiba informaęoes detalhadas sobre seus discos 

rigidos e dispositivos de armazenamento removiveis. 

■ Disk Utility (gnome-disk-utility) — Gerencie partiędes de disco e adicione sistemas de 

arquivos. 

■ Kickstart (system-conf ig-kickstart) — Crie umarquivo de configuraęao de 

inicializaęao rapida que pode ser usado para instalar varios sistemas Linux sem interaęao do 
usuario. 

Conforme voce estudar o resto deste livro para configurar varios servidores Linux, descreverei como 
usar muitas dessas ferramentas. Quando quiser ir alem de urna interface administrativa de apontar e 
clicar, voce tera de aprender a obter privilegios de root a partir do shell, como descrito na próxima 
seęao. 


Usando a conta do usuario root 


Todo sistema Linux comeęa com pelo menos urna conta de usuario administrativo (root) e, possiyelmente, 




urna ou mais contas de usuarios regulares (que recebem um nome que voce escolhe, ou um nome atribmdo 
pela sua distribuięao Linux). Na maioria dos casos, voce faz login como um usuario comume torna-se o 
usuario root para fazer urna tarefa administrativa. 

O usuario root tem controle completo sobre a operaęao de seu sistema Linux. Esse usuario pode abrir 
qualquer arquivo ou executar qualquer programa. O usuario root tambem instala pacotes de software e 
adiciona contas de outras pessoas que usam o sistema. 


:a 

e no usuario root no Linux como similar ao usuario Administrador no Windows. 


Ao instalar a maioria dos sistemas Linux (embora nem todos os sistemas), voce adiciona urna senha ao 
usuario root. Voce deve se lembrar e proteger essa senha — e necessario fazer login como root ou obter a 
permissao de root, enquanto voce esta conectado como outro usuario. 

Para se familiarizar com a conta de usuario root, voce pode simplesmente efetuar login como o usuario 
root. Recomendo tentar isso a partir de umconsole virtual. Para fazer isso, pressione Ctrl+Alt+F2. 
Quando voce vir o prompt de login, digite root (pressione Enter) e digite a senha. Isso abrira urna 
sessao de login para o root. Quando voce terminar, digite exit e pressione Ctrl+Alt+Fl para voltar ao 
login de desktop regular. 

Depois de voce ter se conectado como root, o diretório inicial do usuario root e geralmente /root e ele 
junto com outras informaęóes associadas com a conta de usuario root estao localizados no arquivo 
/etc/passwd. Eis como aparece a entrada de root no arquivo /etc/passwd: 

root:x:0:0:root:/root:/bin/bash 

Isso mostra que para o usuario chamado root, o ID do usuario e definido como 0 (root), o ID do grupo e 
definido como 0 (grupo root), o diretório inicial e/rooteo shell para o usuario e /bin/bash . (O 
Linuxusa o arquivo /etc/shadow para armazenar dados de senha criptografados, de modo que o 
campo de senha aqui contemumx.) \bce pode alterar o diretório inicial ou o shell usado, editando os 
valores nesse arquivo. Amelhor maneira de alterar esses valores, porem, e usar o comando usermod 
(consulte a seęao “Modificando usuarios com usermod”, no Capitulo 11, para obter mais informaęóes). 

Nesse ponto, qualquer comando que voce executar a partir de seu shell sera executado com privilegios de 
root. Portanto, tenha cuidado. \foce tem muito mais poder para alterar (e danificar) o sistema do que voce 
tem como um usuario regular. Novamente, digite exit quando terminar e, se estiver em um console virtual 
e tiver urna interface de desktop rodando em outro console, pressione Ctrl+Alt+Fl para voltar para a tela 
de login grafica, se voce estiver usando um sistema de desktop Linux. 


ta 

jadrao, a conta roote desabilitada no Ubuntu. Isso significa que, mesmo que a conta exista, voce nao pode fazer 
para usa-la ou usar su para se tornaro usuario root. Isso acrescenta um nfvel adicional de seguranęa ao Ubuntu 
ge que voce use o sudo antes de cada comando que deseja executarcomo usuario root. 









Tornando-se root a partir do Shell (comando su) 

Embora voce possa se tornar o superusuario efetuando login como root, as vezes isso nao e conveniente. 
Por exemplo, voce pode estar conectado a urna conta de usuario regular e só quer fazer urna rapida 
mudanęa administrativa em seu sistema sem precisar fazer logout e voltar a fazer login. Ou, voce pode 
precisar fazer login na rede a fim de fazer urna mudanęa em um sistema Linux, mas achar que o sistema 
nao permite que usuarios root efetuem login a partir da rede (urna pratica comum para sistemas Linux 
altamente seguros). 

A soluęao e usar o comando su. A partir de qualquer janela de terminal ou shell, voce pode 
simplesmente di gitar o seguinte: 

$su 

Password: ****** 

# 

Quando for solicitado, digite a senha do usuario root. O prompt para o usuario regular ($) muda para o 
prompt de superusuario (#). Nesse ponto, voce tempermissao completa para executar qualquer comando 
e utilizar qualquer arquivo no sistema. Mas urna coisa que o comando su nao faz quando usado dessa 
forma e ler o ambiente do usuario root. Como resultado, voce pode digitar um comando que sabe que esta 
disponivel e obter a mensagem Command Not Found (comando nao encontrado). Para corrigir esse 
problema, use o comando su coma opęao traęo (-), como a seguir: 

$ su - 

Password: ****** 

# 

\bce ainda precisara digitar a senha, mas depois disso, tudo o que acontece normalmente no login do 
usuario root acontece depois de o comando su ser concluido. Seu diretório atual sera o diretório inicial 
do usuario root (provavelmente /root) e coisas como a variavel PATH do usuario root serao usadas. 

Se voce se tornar o usuario root simplesmente digitando su, em vez de su -, nao vai poder mudar de 
diretório nemalterar o ambiente da sessao de login atual. 

\bce tambempode usar o comando su para se tornar um usuario diferente de root. Isso e util para 
solucionar um problema que esta sendo experimentado por um usuario em particular, mas nao por outros 
no computador (como urna incapacidade de imprimir ou enviar e-mail). Por exemplo, para ter as 
permissóes de um usuario chamado j smith, voce digita o seguinte: 

$ su - jsmith 

Mesmo que voce fosse o usuario root antes de digitar esse comando, depois disso voce teria somente as 
permissóes para abrir arquivos e executar programas que estao disponiveis para j smith. Como usuario 
root, porem, depois de digitar o comando su para se tornar outro usuario, voce nao precisa de urna senha 
para continuar. Se digitar o comando como um usuario comum, voce deve digitar a senha do novo 




usuario. 


Quando terminar de usar permissóes de superusuario, volte para o shell anterior saindo do shell atual. 
Faęa isso pressionando Ctrl+D ou digitando exit. Se voce e o administrador de um computador que e 
acessivel a varios usuarios, nao deixe um shell de root aberto na tela de outra pessoa — a menos que 
voce queira dar a ela liberdade de fazer qualquer coisa que quiser no computador! 


Permitindo acesso administrativo por meio da interface grafica (GUI) 

Como mencionado anteriormente, quando voce executa ferramentas graficas (GUI) como um usuario 
regular (a partir do Fedora, do Red Hat Enterprise Linux ou de alguns outros sistemas Linux), voce sera 
solicitado a fornecer a senha de root antes de ser capaz de acessar a ferramenta. Ao inserir a senha de 
root, voce tern privilegios de administrador para essa tarefa. Nos casos do Red Hat Enterprise Linux e do 
Fedora, depois de digitar a senha, um icone de cracha amarelo aparece no painel superior, indicando que 
a autorizaęao de root ainda esta disponivel para outras ferramentas GUI executarem a partir dessa sessao 
de desktop. 


Ganhando acesso administrativo com sudo 

Um usuario especial tambempode receber permissóes administrativas para tarefas especificas sem 
receber a senha de root. O recurso sudoers e a forma mais comumde fornecer tal privilegio. Usando 
sudoers para quaisquer usuarios ou grupos no sistema, voce pode: 

■ Atribuir privilegios de root a qualquer comando que eles executem com sudo. 

■ Atribuir privilegios de administrador para um seleto conjunto de comandos. 

■ Dar aos usuarios privilegios de root sem dizer-lhes a senha de root, porque eles só tern de fornecer 

sua própria senha de usuario para obter privilegios de root. 

■ Permitir que usuarios, se voce preferir, executem sudo sem digitar nenhuma senha. 

■ Controlar quais usuarios executamcomandos administrativos emseu sistema. (Usando su, tudo 

que voce sabe e que alguem com a senha de root efetuou login, enquanto o comando sudo 
registra em log o usuario que executa o comando administrativo.) 

Como recurso sudoers, dar privilegios de root completos oulimitados a qualquer usuario requer 
simplesmente que o usuario seja adicionado ao arquivo /etc/sudoers e que seja definido qual 
privilegio voce quer que ele tenha. Entao, o usuario pode executar qualquer comando que tiver o 
privilegio de usar, precedendo-o como comando sudo. 

Eis umexemplo de como usar o recurso sudo para fazer comque o usuario chamado j oe tenha plenos 
privilegios de root. 

i?~f I 


;aminaro arquivo sudoers no Ubuntu, voce vera que o usuario inicial no sistema ja tem privilegios, por padrao, 






mientes do fato de ser um membro do grupo admin. Para dar a qualquer outro usuario os mesmos privilegios, 
pode simplesmente acrescentar o usuario adicional ao grupo admin quando voce executa visudo. 


1 - Como usuario root, edite o arquivo /etc/sudoers visudo como comando visudo : 

# /usr/sbin/visudo 

Por padrao, o arquivo e aberto no vi, a nao ser que a variavel EDITOR esteja configurada como 
algumoutro editor aceitavel para visudo (por exemplo, export EDITOR=gedit). Arazao 
para usar visudo e que o comando bloqueia o arquivo /etc/sudoers efaz urna verificaęao 
de sanidade basica nele para assegurar de que foi editado corretamente. 


ta 

Dce empacaraqui, tente executar o comando vimtutor para um rapido tutorial sobre como usarvi e vim. 


2 - Adicione a seguinte linha para permitir que joe tenha plenos privilegios de root sobre o 
computador: 

joe ALL=(ALL) ALL 

Essa linha faz com que joe forneęa urna senha (sua própria senha, nao a senha de root) para usar 
comandos administrativos. Para permitir que joe tenha esse privilegio semo uso de urna senha, digite a 
seguinte linha no lugar: 

joe AI*L= (ALL) NOPASSWD: ALL 

3 - Salve as alteraęóes no arquivo /etc/sudoers (no vi, digite Esc e entao : wq) . 

O exemplo a seguir e de urna sessao do usuario jake depois que ele ganhou privilegios de su do 

[joe]$ sudo touch /mnt/testfile.txt 

We trust you have received the usual lecture 
from the local System Administrator. It usually 
boils down to these two things: 

#1) Respect the privacy of others. 

#2) Think before you type. 

Password: ********* 

[joe]$ ls -1 /mnt/testfile.txt 

-rw-r—r--. 1 root root 0 Jan 7 08:42 /mnt/testfile.txt 
[jake] $rm /mnt/testfile.txt 

rm: cannot remove '/mnt/testfile.txt': Permission denied 

[jake]$sudo rm /mnt/textfile.txt 

[jake] $ 

Nessa sessao, o usuario jake executa o comando sudo para criar umarquivo (/mnt/textf ile . txt) 
em um diretório no qual ele nao tern permissao de gravaęao. Ele recebe um aviso e e solicitado a 
fornecer sua senha (essa e a senha de jake, nao a senha de root). 







Mesmo depois que jake forneceu a senha, ele ainda deve usar o comando su do para executar comandos 
administrativos subseąuentes como root (o rm falha, mas o su do rm funciona). Notę que ele nao e 
solicitado a fornecer urna senha para o segundo su do. Isso ocorre porque depois de inserir sua senha 
comsucesso, ele pode inserir quantos comandos sudo quiser pelos próximos cinco minutos semter de 
digita-la novamente. (Voce pode alterar o valor do tempo limite para quanto quiser, definindo o valor 
passwd_timeout no arquivo / etc/sudoers.) 

O exemplo anterior concede um simples privilegio administrativo do tipo “tudo ou nada” a joe. Mas o 
arquivo /etc/sudoers lhe da urna quantidade incrivel de flexibilidade ao permitir que usuarios 
individuais e grupos utilizem aplicativos individuais ou grupos de aplicativos. Consulte as paginas man 
de sudoers e sudo para obter informaęóes sobre como ajustar seurecurso sudo. 


Explorando comandos administrativos, arquivos de 
configuraęao e arquivos de log _ 

\bce pode esperar encontrar muitos comandos, arquivos de configuraęao e arquivos de log nos mesmos 
lugares do sistema de arquivos, independentemente de qual distribuięao Linux voce esta usando. As 
seęóes a seguir fornecem algumas indicaęóes sobre onde procurar esses elementos importantes. 


ta 

erramentas administrativas graficas para o Linux tornaram-se tao boas, por que voce precisa saber sobre os 
ivos administrativos? Por um lado, embora as ferramentas GUI difiram entre versóes do Linux, muitos arquivos de 
guraęao subjacentes sao os mesmos. Portanto, se aprender a trabalhar com eles, voce pode trabalhar com 
camente qualquer sistema Linux. Alem disso, se um recurso quebrar ou se voce precisa fazer algo que nao e 
irtado pela interface grafica, quando pedirajuda, especialistas em Linuxquase sempre lhe dizem como alterar o 
ivo de configuraęao diretamente. 


Comandos administrativos 

Muitos comandos administrativos foram concebidos para serem usados somente pelo usuario root. 
Quando voce efetua login como root (ou usa su -a partir do shell para se tornar root), sua variavel 
$PATH esta definida para incluir alguns diretórios que contem comandos para o usuario root. Elas 
incluemo seguinte: 

■ / sbin — Contem comandos necessarios para iniciar seu sistema, incluindo comandos para 

verificar sistemas de arquivos (f sck) e iniciar/parar servięos do sistema (service). 

■ /usr/sbin — Contem comandos para coisas como gerenciar contas de usuario (como 

useradd) e verificar processos que estao segurando arquivos abertos (como lsof). Comandos 
que sao executados como processos daemon tambem estao contidos nesse diretório. Processos 
daemon sao processos que rodam em segundo piano, a espera de requisię5es de servięos, como 







os para acessar urna impressora ou urna pagina web. (Olhe para os comandos que terminam em d, 
como sshd, pppd e cupsd.) 

Alguns comandos administrativos estao contidos emdiretórios de usuarios regulares (como /bin e 
/usr/bin). Isso e especialmente yerdadeiro para os comandos que tern algumas opęóes dispoiweis 
para todos. Umexemplo e o comando /bin/mount, que qualquer umpode usar para listar os sistemas 
de arquivos montados, mas somente root pode usar para montar sistemas de arquivos. (Alguns desktops, 
porem, sao configurados para permitir que os usuarios regulares usemmount para montar CDs, DVDs 
ou outras midias removiveis) 


ta 

iulte a seęao “Montando sistemas de arquivos”, no Capitulo 12, para obter instruęoes sobre como montar urn 
ma de arquivos. 


Para localizar comandos destinados primariamente ao administrador de sistema, consulte as paginas man 
da seęao 8 (normalmente em /usr/share/man/man8). Elas contem descrięóes e opęóes para a 
maioria dos comandos administrativos do Linux. 

Alguns aplicativos de terceiros adicionam comandos administrativos aos diretórios que nao estao em seu 
PATH. Por exemplo, umaplicativo pode colocar comandos no diretório /usr/local/bin, 
/opt/bin, /usr/local/sbin. Algumas distribuięóes Linux automaticamente adicionam diretórios 
ao seu PATH, geralmente antes de seus diretórios padrao bin e sbin. Assim, os comandos instalados 
para os diretórios nao sao apenas acessiveis, mas tambem podem substituir os comandos de mesmo nome 
em outras pastas. 

Arquivos de configuraęao administrativa 

Os arquivos de configuraęao sao outros dos pilares da administraęao Linux. Quase tudo o que voce 
configura para seu computador particular — contas de usuario, endereęos de rede ou preferencias de 
interface grafica — e armazenado emarquivos de texto simples. Isso apresenta algumas vantagens e 
desvantagens. 

Avantagemde arquivos de texto simples e que e facil de le-los e muda-los. Qualquer editor de texto 
serve. A desvantagem, porem, e que, ao editar arquivos de configuraęao, nenhuma verificaęao de erro 
esta acontecendo. \bce tern de executar o programa que le esses arquivos (como um daemon de rede ou o 
desktop X) para descobrir se configurou os arquivos corretamente. Enquanto alguns arquivos de 
configuraęao usam estruturas padrao, tais como XML, para armazenar informaęóes, muitos nao o fazem 
Entao, voce precisa aprender as regras de estrutura especificas para cada arquivo de configuraęao. Urna 
yirgula ou urna aspa no lugar errado as vezes pode fazer urna interface toda falhar. 


ta 

ns pacotes de software oferecem um comando para testar a sanidade do arquivo de configuraęao associado a um 









ite antes de iniciar um servięo. Por exemplo, o comando testparm e usado com o Samba para verificar a 
Jadę de seu arquivo smb. conf. Outras vezes, o processo daemon fornecendo um servięo oferece urna opęao 
verificar seu arquivo de configuraęao. Por exemplo, execute httpd -t para verificar sua configuraęao de 
dorweb Apache antes de iniciar seu servidorweb. 


Ao longo deste livro, voce vai encontrar as descrięóes dos arquivos de configuraęao que voce precisa 
para configurar as diferentes caracteristicas que compóem os sistemas Linux. Os dois principais locais 
de arquivos de configuraęao sao seu diretório inicial (onde seus arquivos de configuraęao pessoal sao 
mantidos) e o diretório /etc (que contem arquivos de configuraęao de todo o sistema). 

Aseguir, sao descritos os diretórios (e subdiretórios) que contem arquivos de configuraęao uteis. As 
descrięóes sao seguidas por alguns arquivos de configuraęao individuais em / etc que sao de interesse 
particular. Yisualizar o conteudo de arquivos de configuraęao do Linux pode ensinar muito sobre 
administraęao de sistemas Linux. 

■ $HOME — Todos os usuarios armazenam informaęóes em seus diretórios iniciais, que determinam 

como suas contas de login se comportam Varios arquivos de configuraęao estao diretamente no 
diretório inicial de cada usuario (como /home/j oe) e comeęam com um ponto (. ), de tal modo 
que eles nao aparecemno diretório de um usuario quando voce usa um comando ls padrao (voce 
precisa di gitar ls -a para ve-los). Da mesma maneira, arquivos e diretórios ponto nao vao 
aparecer na maioria das janelas do gerenciador de arquivos por padrao. Ha arquivos ponto que 
definem o comportamento do shell de cada usuario, a aparencia e comportamento do desktop e 
opęóes utilizadas com seu editor de texto. Ha ate arquivos, como aqueles no diretório 
$HOME/ . ssh de cada usuario, que configurampermissóes de rede para cada usuario. (Para ver 
o nome de seu diretório inicial, digite echo $HOME partir de um shell.) 

■ /etc — Esse diretório contem a maioria dos arquivos de configuraęao de sistema basicos do 

Linux. A Tabela 8.1 mostra alguns arquivos de configuraęao /etc de interesse. 

■ / e t c / cron * — Diretórios nesse conjunto contem arquivos que definem como o utilitario 

crond executa aplicativos combase emuma agenda diaria (cron . daily), de hora emhora 

(cron . hourly), mensal (cron . monthly) ou semanal (cron . weekly). 

■ /etc/cups — Contemarquivos usados para configurar o servięo de impressao CUPS. 

■ /etc/default — Contemarquivos que definemvalores padrao para diversas utilidades. Por 

exemplo, o arquivo para o comando useradd define o numero do grupo padrao, o diretório 
inicial, a data de expiraęao de senha, o shell e o diretório esqueleto (/etc/skel) que sao 
utilizados para criar urna nova conta de usuario. 

■ /etc/httpd — Contem urna variedade de arquivos usados para configurar o comportamento de 

seu seryidor web Apache (especificamente, o processo daemon httpd. (Em alguns sistemas 
Linux, o diretório /etc/apache ou /etc/apache2 e usado.) 

■ /etc/init.d — Contem as cópias permanentes dos Scripts de nivel de execuęao no estilo 

System V Esses Scripts sao muitas yezes linkados a partir dos diretórios /etc/rc? . d para ter 






cada servięo associado a um script iniciado ou parado para o nivel de execuęao especifico. O ? e 
substituido pelo numero do mvel de execuęao (de 0 a 6). 

■ /etc/mail — Contemarquivos usados para configurar o agente de transporte de e-mail 

sendmail. 

■ /etc/pcmcia — Contemarquivos de configuraęao que permitemque voce tenha urna variedade 

de cartóes PCMCIA configurados para seu computador. (Slots PCMCIA sao as aberturas emseu 
laptop que permitem que voce conecte ao computador cartóes PCMCIA do tamanho de cartóes de 
credito. \bce pode conectar dispositivos como modems e CD-ROMs externos. Coma 
disseminaęao dos dispositivos USB, hoje os slots PCMCIA sao menos comuns do que eram) 

■ /etc/postfix — Contemarquivos de configuraęao para o agente de transporte de e-mail 

postfix. 

■ /etc/ppp — Contemdiversos arquivos de configuraęao usados para configurar o Point-to-Point 

Protocol (PPP), o qual permite fazer urna conexao discada com a internet. (O PPP era mais 
comumente utilizado quando os modems discados erampopulares.) 

■ /etc/rc?.d — Ha um diretório rc? . d separado para cada estado valido do sistema: rcO . d 

(estado desligado), rcl. d (estado monousuario), rc2 . d (estado multiusuario), rc3 . d (estado 
multiusuario mais rede), rc4 . d (estado definido pelo usuario), rc5 . d (estado multiusuario, 
rede e login GUI) e rc6 . d (estado reboot). 

■ /etc/security — Contemarquivos que definemurna variedade de condięóes de seguranęa 

padrao para seu computador, basicamente definindo como a autenticaęao e feita. Esses arquivos 
sao parte do pacote pam (módulos de autenticaęao acoplaveis). 

■ /etc/skel — Todos os arquivos contidos nesse diretório sao automaticamente copiados para o 

diretório inicial do usuario quando este e adicionado ao sistema. Por padrao, a maioria desses 
arquivos sao arquivos ponto, como . kde (um diretório para definir padróes do desktop KDE) e 
.bashrc (para definir os valores padrao utilizados como shell bash). 

■ /etc/ sysconf ig — Contem arquivos importantes do sistema de configuraęao que sao criados 

e mantidos por varios servięos (incluindo iptables, samba e a maioria dos servięos de rede). 
Esses arquivos sao essenciais para distribuięóes Linux, como o Fedora e o RHEL, que usam 
ferramentas de interface grafica, mas nao sao usados em outros sistemas Linux. 

■ /etc/xinetd.d — Contemumconjunto de arquivos, emque cada umdeles define umservięo 

de rede por demanda que o daemon xinetd escuta em urna porta especifica. Quando o processo 
de daemon xinetd recebe urna requisięao de um servięo, ele usa as informaędes contidas 
nesses arquivos para determinar qual daemon processar para comeęar a lidar com a requisięao. 

Aseguir sao apresentados alguns arquivos de configuraęao interessantes em / etc: 

■ aliases — Pode conter listas de distribuięao utilizadas pelo servięo de e-mail Linux. (Esse 

arquivo pode estar localizado em / etc/mail.) 



bashrc — Define todos os padrdes de nivel de sistema para usuarios do shell bash. (Isso pode 
ser chamado bash.bashrc emalgumas distribuięóes Linux.) 

crontab — Configura a data e a hora para a execuęao de tarefas automatizadas e variaveis 
associadas como recurso cron (como o SHELLe PATH associado como cron). 

csh.cshrc (ou cshrc) — Configura padróes de nivel de sistema para usuarios do csh (shell 
C). 

exports — Contem urna lista de diretórios locais que estao disponiveis para serem 
compartilhados por computadores remotos usando o NetWork Pile System (NPS). 

f stab — Identifica os dispositivos de midia de armazenamento comuns (disco rigido, disąuete, 
CD-ROM etc.) e os locais onde sao montados no sistema Linux. Isso e usado pelo comando 
mount para escolher quais sistemas de arquivos devemser montados primeiro na inicializaęao 
do sistema. 

group — Identifica os nomes e IDs de grupo (GID) que estao definidos no sistema. As 
permissóes de grupo no Linux sao definidas pelo segundo de tres conjuntos de bits rwx (leitura, 
gravaęao, execuęao) associados com cada arquivo e diretório. 

gshadow — Contem senhas de sombra para grupos. 

host. conf — Usado por aplicativos mais antigos para definir os locais emque os nomes de 
dominio (por exemplo, redhat.com) sao procurados emredes TCP/IP (como a internet). Por 
padrao, o arquivo hosts local e procurado e, entao, qualquer entrada de servidor de nomes em 

resolv. conf. 

hosts — Contemendereęos IP e nomes de host que voce pode alcanęar a partir de seu 
computador. (Normalmente, esse arquivo e usado apenas para armazenar nomes de computadores 
em sua rede local ou pequena rede privada.) 

hosts.allow — Lista computadores host que estao autorizados a utilizar determinados 
servięos TCP/IP do computador local. 

hosts . deny — Lista computadores host que nao estao autorizados a utilizar determinados 
servięos TCP/IP do computador local (embora esse arquivo seja usado se voce cria-lo, ele nao 
existe por padrao). 

inittab — Conteminformaędes que definem quais programas iniciame paramquando o Linux e 
inicializado, e desligado ou entra em diferentes estados no meio disso. Esse arquivo de 
configuraęao e o primeiro a ser lido quando o Linux inicia o processo init. 

mtab — Contem urna lista de sistemas de arquivos que estao atualmente montados. 

mtools . conf — Contem configuraęóes usadas por ferramentas DOS no Linux. 

named. conf — Contem configuraęóes de DNS, se voce estiver executando seupróprio servidor 
DNS. 



■ nsswitch . conf — Contemconfiguraęóes de troca do servięo de nomes, para identificar de 

onde (host local ou via servięos de rede) vem as informaęóes de sistemas criticos (contas de 
usuario, mapeamentos de nome de host/endereęo etc.). 

■ ntp . conf — Inclui informaęóes necessarias para executar o NetWork Time Protocol (NTP). 

■ passwd — Armazena informaęóes das contas de todos os usuarios validos no sistema. Tambem 

inclui outras informaęóes, como o diretório inicial e o shell padrao. (Raramente inclui as senhas 
emsi, que normalmente estao armazenados no arquivo /etc/shadow.) 

■ printcap — Contem definięóes para as impressoras configuradas para seu computador. (Se o 

arquivo printcap nao existir, procure informaęóes sobre a impressora no diretório 

/etc/cups.) 

■ profile — Define o ambiente no nivel de sistema e os programas de inicializaęao para todos os 

usuarios. Esse arquivo e lido quando o usuario efetua o login. 

■ protocols — Configura numeros e nomes de protocolo para urna variedade de servięos de 

internet. 

■ rpc — Define os nomes e numeros das chamadas de procedimento remoto. 

■ services — Define nomes e servięos de TCP/IP e UDP e suas atribuięóes de portas. 

■ shadow — Contem senhas criptografadas para usuarios que estao definidos no arquivo passwd. 

(Isso e visto como urna forma mais segura de armazenar senhas do que a senha original 
criptografada no arquivo passwd. O arquivo passwd precisa ser lido publicamente, enquanto o 
arquivo shadow pode ser ilegivel por todos, exceto o usuario root.) 

■ shells — Lista os interpretadores de linha de comando de shell (bash, sh, csh etc.) que estao 

disponiveis no sistema, bemcomo suas localizaęóes. 

■ sudoers — Configura comandos que podem ser executados por usuarios, que exceto por isso 

nao tempermissao para executar o comando, usando o comando sudo. Emparticular, esse 
arquivo e utilizado para fornecer a usuarios selecionados permissao de root. 

■ rsyslog. conf — Define quais mensagens de log sao coletadas pelo daemon syslogd e quais 

arquivos sao armazenados. (Normalmente, as mensagens de log sao armazenadas emarquivos 
contidos no diretório /var/log.) 

■ termcap — Lista definięóes para os terminais de caracteres, de modo que aplicativos baseados 

emcaractere saibamquais recursos sao suportados por umdado terminal. Terminais graficos e 
aplicaędes tornaramesse arquivo obsoleto para a maioria das pessoas. 

■ xinetd. conf — Conteminformaęóes de configuraęao simples usados pelo processo daemon 

xinetd. Esse arquivo emsua maior parte aponta para o diretório /etc/xinetd.d para obter 
informaęóes sobre servięos individuais. 

Outro diretório, /etc/Xll etc/Xl 1, inclui subdiretórios que contem, cada um, arquivos de todo o 



sistema de configuraęao usados por gerenciadores de janelas X e gerenciadores diferentes disponiveis 
para Linux. O arquivo xorg. conf (configura o computador e o monitor para torna-los utilizayeis com 
o X) e os diretórios de configuraęao contendo arquivos usados por xdm e xinit para iniciar o X estao 
aqui. 

Os diretórios relacionados aos gerenciadores de janela contem arquivos que incluemos valores padrao 
que umusuario obtera se esse usuario iniciar umdesses gerenciadores de janela no seu sistema. 
Gerenciadores de janelas que podemter arquivos de todo o sistema de configuraęao nesses diretórios 
incluemtwm(twm/) e xfce (xdg/). 


ta 

ns arquivos e diretórios em /etc/xil estao linkados a locais no diretório /usr/xilR6. 


Arquivos de log administrativos 

Urna das coisas que o Linux faz bem e monitorar a si próprio. Isso e urna coisa boa, quando voce 
considera quanta coisa esta acontecendo em um sistema operacional complexo. As vezes voce esta 
tentando obter um novo recurso para trabalhar e ele falha sem explicar minimamente por que falhou. 
Outras vezes, voce quer monitorar seu sistema para ver se ha tentativas de acesso ilegal ao seu 
computador. Emqualquer urna dessas situaęóes, voce pode utilizar os arquivos de log para ajudar a 
monitorar o problema. 

A principal utilidade para registro em log de erros e mensagens de depuraęao em Linux e o daemon 
rsyslogd. (Alguns sistemas Linuxmais antigos usam syslogd e daemons syslogd). 

O registro emlog sera feito de acordo cominformaęóes no arquivo /etc/rsyslog. conf. As 
mensagens sao normalmente direcionadas para arquivos de log que geralmente estao no diretório 
/var/log. Eis alguns arquivos de logcomuns: 

■ boot. log — Contem mensagens de boot sobre servięos a medida que eles iniciam 

■ messages — Contem muitas mensagens informativas gerais sobre o sistema. 

■ secure — Contem mensagens relacionadas a seguranęa, como a atividade de login ou qualquer 

outro ato que autentica usuarios. 

■ XFree8 6 . 0 . log ou Xorg. 0 . log — Dependendo de qual servidor X voce esta usando, 

contem mensagens sobre a płaca de video, o mouse e a configuraęao do monitor. 

Se voce estiver usando o Fedora, o utilitario System Log Yiewer e umbom caminho para percorrer seus 
arquivos de registro em log do sistema. No menu Applications, selecione System => Administration => 
Log File Yiewer. Ybce nao só pode ver os logs de boot, kernel, e-mail, seguranęa e outros logs de 
sistema, como tambem pode usar o painel de visualizaęao para selecionar as mensagens de log de urna 
determinada data. 


Consulte o Capitulo 13, “Entendendo a administraęao de seryidor”, para obter informaęóes sobre a 






configuraęao do recurso rsyslogd. 


Usando outras contas administrativas 


\foce nao ouve muito sobre outras contas de usuarios administrativos (alem de root) sendo utilizado com 
o Linux. Era uma pratica relativamente comumnos sistemas UNIX ter varios logins administrativos 
diferentes que permitiamąue tarefas administrativas fossem divididas entre varios usuarios. Por 
exemplo, as pessoas sentadas perto de uma impressora podem ter permissóes de lp para mover 
trabalhos de impressao para outra impressora se elas souberem que a primeira nao esta funcionando. 

Em qualquer caso, logins administrativos estao disponiveis no Linux, porem, o login direto desses 
usuarios esta desabilitado por padrao. As contas sao mantidas principalmente para fornecer posse de 
arquivos e processos associados com servięos particulares. Ao executar processos daemon sob logins 
administrativos separados, ter um desses processos dominado por um cracker nao da permissao de root 
ao cracker e a capacidade de acessar outros processos e arquivos. Considere os seguintes exemplos: 

■ lp — O usuario possui coisas como o arquivo de log de impressao /var/log/cups e varios 

arquivos de cache e spool de impressao. O diretório inicial para lp e /var/spool/lpd. 

■ apache — O usuario pode ser usado para criar arquivos de conteudo e diretórios. E usado 

principalmente para executar processos do servidor web (httpd). 

■ postf ix — O usuario possui varios diretórios e arquivos de spool do servidor de e-mail. O 

usuario executa os processos daemon usados para fornecer o servięo postfix (master). 

■ uucp — O usuario possui varios comandos uucp (antigamente utilizados como o principal 

metodo para comunicaęao serial discada), bemcomo arquivos de log em /var/log/uucp, 
arquivos de spool em /var/spool, comandos administrativos (tais como uuchk, uucico, 
uuconv e uuxqt) em /ust /sbin e comandos do usuario (uucp, cu, uuname, uustat e 
uux) em /usr/bin. O diretório inicial para o uucp e /var/spool/uucp. O servięo uucp 
e raramente usado. 

■ bin — O usuario possui muitos comandos em /bin em sistemas UNIX tradicionais. Esse nao e o 

caso em alguns sistemas Linux (como o Fedora e o Gentoo) porque root possui a maioria dos 
arquivos executaveis. O diretório inicial de bin e /bin. 

■ news — O usuario pode fazer a administraęao de servięos de news da internet, dependendo de 

como voce configura a permissao para /var/spool/news e outros recursos relacionados com 
news. O diretório inicial para news e /etc/news. 

Por padrao, os logins administrativos na lista anterior estao desabilitados. \bce precisa mudar o shell 
padrao de sua configuraęao atual (geralmente /sbin/nologin ou /bin/false) para um shell real 
(geralmente /bin/bash) para ser capaz de fazer login como esses usuarios. 




Verificando e configurando o hardware 

Em um mundo perfeito, após a instalaęao e inicializaęao do Linux, todo seu hardware e detectado e 
dispomvel para acesso. Embora os sistemas Linux estejamrapidamente se aproximando desse mundo, ha 
momentos emque voce deve tomar medidas especiais para fazer o hardware do computador funcionar. 
Alem disso, o crescente uso de dispositivos USB e FireWire removiveis (CDs, DVDs, pen drives, 
cameras digitais e discos rigidos removiveis) tornou importante para o Linux fazer o seguinte: 

■ Gerenciar eficientemente o hardware removivel 

■ Olhar para a mesma peęa de hardware de maneiras diferentes (por exemplo, ser capaz de ver urna 

impressora nao apenas como impressora, mas tambem como urna maąuina de fax, um scanner e 
um dispositivo de armazenamento) 

Recursos do kernel do Linux adicionados nos ultimos anos tornaram possivel mudar drasticamente a 
maneira como dispositivos de hardware sao detectados e gerenciados. Recursos no kernel, ou 
estreitamente relacionados a ele, incluem Udev (para dinamicamente nomear e criar dispositivos de 
hardware removiveis) e HAL (para passar informaęóes sobre alteraęóes de hardware para o espaęo do 
usuario). 

Se tudo isso soar umpouco confuso, nao se preocupe. Na verdade, isso e concebido para facilitar sua 
vida como um usuario Linux. O resultado finał de funcionalidades incorporadas no kernel e que a 
manipulaęao de dispositivos no Linuxtornou-se: 

■ Mais automatica — Para a maioria dos hardwares, quando um dispositivo de hardware e 

conectado ou desconectado, ele e automaticamente detectado e identificado. Interfaces de acesso 
ao hardware sao adicionadas, por isso ele e acessivel para o Linux. Entao, o fato de o hardware 
estar presente (ou ter sido removido) e passado para o nivel de usuario, no qual os aplicativos 
ouvindo alteraęóes de hardware estao prontos para montar o hardware e/ou iniciar um aplicativo 
(como umvisualizador de imagens ouleitor de musica). 

■ Mais flexivel — Se voce nao gosta do que acontece automaticamente quando um item de hardware 

e conectado ou desconectado, e possivel mudar isso. Por exemplo, recursos incorporados nos 
desktops GNOMĘ e KDE permitem que voce escolha o que acontece quando um CD de musica ou 
um DVD de dados e inserido, ou quando urna camera digital e conectada. Se preferir que um 
programa diferente seja carregado para lidar comisso, voce pode facilmente fazer essa mudanęa. 

Essa seęao aborda varias quest5es relacionadas com fazer seu hardware funcionar corretamente no 
Linux. Primeiro, ele descreve como verificar informaędes sobre os componentes de hardware de seu 
sistema. Entao, ele cobre como configurar o Linuxpara lidar commidia removivel. Finalmente, descreve 
como usar as ferramentas para carregar manualmente e trabalhar com drivers para hardware que nao sao 
detectados e corretamente carregados. 

Verificando seu hardware 

Quando seu sistema inicializa, o kernel detecta o hardware e carrega os drivers que permitem que o 
Linux funcione comesse hardware. Como as mensagens sobre a detecęao de hardware passam 




rapidamente pela tela quando voce inicializa, para ver as mensagens de problemas potenciais, e preciso 
reexibi-las depois que o sistema inicializa. 

Ha duas maneiras de ver as mensagens de inicializaęao do kernel depois que o Linux inicializa. Qualquer 
usuario pode executar o comando dmesg para ver qual hardware foi detectado e quais drivers foram 
carregados pelo kernel durante a inicializaęao. A medida que novas mensagens sao geradas pelo kernel, 
elas tambem sao disponibilizadas para o comando dmesg. Urna segunda maneira de ver as mensagens 
emalguns sistemas Linux e exibindo o conteudo do arquivo /var/log/dmesg, se ele existir. 


ta 

Dis que seu sistema esta funcionando, muitas mensagens do kernel sao enviadas para o arquivo 
r/log/messages. Assim, porexemplo, se voce quiservero que acontece quando conecta urn pen drive, 
pode digitar taił -f /var/log/messages e ver como dispositivos e pontos de montagem sao 
os. 


Eis umexemplo de urna saida do comando dmesg que foi reduzida para mostrar algumas informaęóes 
interessantes: 

$ dmesg | less 

[ 0.000000] Linux version 3.1.0-7.£cl 6.1686 

(®ockbuild3x96-ll.phx2. fedoraproject.org) 

(gcc version 4.€.2 20111027 (Red Hat 4.6.2-1) (GCC) ) 

#1 SMR Tue Nov 1 21:00:16 UTC 2011 
[ 0.000000] CMI: Dell Inc. Precision Workstation 450 
/0GU093, 3I0S A06 08/20/2007 
[0.000000] Kerr.el comnand lir.e: initrd=initrdO.img 

root=live:CBLABEI=Eedora-16-i69 6-Live-Desktop.iso 
rootfstype=auto ro liveimg ąuiet rhgb rd.luks=0 
rd.md=0 rd.ćtr.=0 BOOI_IMAGE=vmlinuzO 
[ 0.056934] CPOO: Intel(R) Xeon(R) CPU E5320 @ 1.86GHz stepping Ob 
[ 0.272025] Brought up 4 CPUs 

[ 0.272029] Total cf 4 prccessors activated (14855.38 BogoMIPS). 

[ 3.020618] Serial: 8250/16550 driver, 4 ports, IRQ sharing enabled 
[ 3.041185] serial8250: ttySO at I/O 0x3f8 (irg =4) is a 16550A 
[ 3.061880] serial8250: ttySl at 1/0 0x2f8 (irg =3) is a 16550A 
[ 3.145982] mousedev: PS/2 mouse device common for all mice 
[ 3.538044] scsi 6:0:0:0: CD-ROM 

TSSTcorp DVD-ROM TS-H352C DE02 PQ: 0 ANSI: 5 
[ 3.870128] input: ImPS/2 Ger.eric Wheel Mouse 

as /devices/platform/i8042/3eriol/input/inp'Ut3 
[ 26.964764) elOOO: Intel(R) PRC/1000 NetWork Driver - version 7.3.21-k8-NAPI 
[ 26.964767] elOOO: Copyright (c) 1999-2006 Intel Corporation. 

[ 26.964313] elOOO 0000:0c:02.0: PCI INT A -> GSI 18 (level, Iow) -> IRQ 18 

[ 27.089109] parport_pc 00:08: reported by Pług and Play ACPI 
[ 27.089169] parportO: PC-style at 0x378 (0x778), irq 7 [PCS??,TRISTATE] 

[24179.176315] scsi 9:0:0:0: Direct-Access 

S31B1102 USB DISK 1100 PQ: 0 ANSI: 0 CCS 
[24179.177466] sd 9:0:0:0: Attached scsi generic sg2 type 0 
[24179.177854] sd 9:0:0:0: [sdb] 

8343552 512-byte Icgical blocks: (4.27 3B/3.97 GiB) 

[24179.179593] sd 9:0:0:0: [sdb] Write Frotect is off 

A partir dessa saida, voce ve primeiro a versao do kernel do Linux, seguida de informaęóes sobre o 
computador (Dell Precision Workstation) e opęóes de linha de comando do kernel. Em seguida, voce 
pode ver o tipo dos processadores (Intel Xeon) e o numero de CPUs (4). Depois disso, eu exclui as 
informaęóes sobre os hardwares conectados ao computador: portas seriais, porta de mouse, unidade de 







CD, płaca de rede interface (elOOO) e porta paralela. As ultimas linhas refletem um pen drive de 4GB 
sendo conectado ao computador. 

Se algo der errado ao detectar seu hardware ou drivers de carga, voce pode consultar essas informaęóes 
para ver o nome e o numer o do model o de hardware que nao esta funcionando. Entao, voce pode procurar 
fóruns ou documentaęao sobre Linux para tentar resolver o problema. 

Urna vez que seu sistema esta instalado e funcionando, existem outros comandos que permitem que voce 
examine para obter informaęóes detalhadas sobre o hardware de seu computador. O comando lspci 
lista barramentos PCI em seu computador e os dispositivos conectados a eles. Eis umtrecho de salda: 

$ lspci 

00:00.0 Host bridge: Intel Corporation 5000X Chipset Memory 
ControllerHub 

00:02.0 PCI bridge: Intel Corporation 5000 Series Chipset PCI 
Express x4 Port 2 

00:lb.0 Audio device: Intel Corporation 631xESB/632xESB 
High Definition Audio Controller (rev 09) 

00:ld.0 USB controller: Intel Corporation 631xESB/632xESB/3100 
Chipset UHCI 

USBController#l (rev 09) 

07:00.0 VGA compatible controller: nVidia Corporation NV44 [Quadro 
NVS 285] 

0c:02.0 Ethernet controller: Intel Corporation 82541PI 
Gigabit Ethernet Controller (rev 05) 

A ponte do servidor conecta o barramento local a outros componentes na ponte PCI. Reduzi a salda para 
mostrar informaęóes sobre os diferentes dispositivos no sistema que lidamcomvarios recursos: som 
(dispositivo de audio), pen drives e outros dispositivos USB (controlador USB), monitor (controlador 
compativel com VGA) e placas de rede comfio (controlador Ethernet). Se voce tiver problemas emfazer 
qualquer um desses dispositivos funcionar, anotar os nomes e numeros de modelo lhe da algo para 
procurar no Google. 

Para obter urna salda mais detalhada de lspci, adicione urna oumais opęóes -v. Por exemplo, usando 
lspci -vvv, recebi informaęóes sobre meu controlador Ethernet, incluindo latencia, capacidade do 
controlador e o driver do Linux (elOOO) a ser utilizado para o dispositivo. 

Se voce estiver interessado especificamente emdispositivos USB, experimente o comando lsusb. Por 
padrao, lsusb lista informaęóes sobre hubs USB do computador, juntamente comtodos os dispositivos 
USB conectados as portas USB do computador: 

$ lsusb 

Bus 001 Device 001: ID ld6b:0002 Linux Foundation 2.0 root hub 

Bus 002 Device 001: ID ld6b:0001 Linux Foundation 1.1 root hub 

Bus 003 Device 001: ID ld6b:0001 Linux Foundation 1.1 root hub 

Bus 004 Device 001: ID ld6b:0001 Linux Foundation 1.1 root hub 
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A partir da saida anterior, voce pode ver o modelo de um teclado, mouse e pen drive conectados ao 
computador. Tal como acontece com lspci, voce pode adicionar uma ou mais opęóes -v para ver mais 
detalhes. 

Para ver mais detalhes sobre seu processador, execute o comando lscpu. Esse comando fornece 
informaęóes basicas sobre os processadores de seu computador. 

$ lscpu 
Architecture: 

CPU op-mode(s): 

CPU(s) : 

On-line CPU(s) lisr: 

Thread(s) per core: 

Core(s) per Socket: 

A partir da amostragemde salda de lscpu, voce pode ver que esse e umsistema de 64 bits (x86-64) 
que pode operar em 32 bits ou 64 bits e ha quatro CPUs. 


x86_64 

32-bit, 64-bit 
4 

0-3 

1 


Gerenciando hardware removivel 

Sistemas Linux, como Red Hat Enterprise Linux, Fedora e outros que suportam ambientes de desktop 
KDE e GNOMĘ completos, incluem ferramentas graficas simples para configurar o que acontece quando 
voce anexa dispositivos removiveis populares ao computador. Assim, com um desktop KDE ou GNOMĘ 
em execuęao, basta conectar um dispositivo USB ou inserir um CD ou DVD e uma janela pode aparecer 
para lidar com esse dispositivo. 

Embora diferentes ambientes de trabalho compartilhem muitos dos mesmos mecanismos subjacentes (em 
particular, o Udev) para detectar e nomear hardware removivel, oferecem diferentes ferramentas para 
configurar como eles sao montados ou usados. O Udev (usando o daemon udevd) cria e remove 
dispositivos (diretório /dev) quando hardware e adicionado e removido do computador. Acamada de 
abstraęao de hardware (HAL) fornece a plataforma global para descobrir e configurar hardware. 

Conti guraęóes que sao de interesse para alguem usando um sistema desktop Linux, porem, podem ser 
configuradas com ferramentas de desktop faceis de usar. 

O gerenciador de arquivos Nautilus, usado com o desktop GNOMĘ, permite que voce defina o que 
acontece quando conecta dispositivos removiveis ou insere midia removivel no computador a partir da 
janela File Management Preferences. As descrięóes dessa seęao sao baseadas no GNOMĘ 3.2 no Fedora 
16. 

A partir do desktop GNOMĘ 3.2, selecione Activities => Applications => System Tools => System 
Settings => Removable Media. A Figura 8.2 mostra umexemplo dessa janela. 



RA 8.2 _ 

? as configuraęóes de midia removivel na janela Removable Media. 


As configuraęóes a seguir estao disponiveis a partir da janela Removable Media. Essas configuraęóes 
relacionam-se a maneira como midias removiveis sao tratadas quando sao inseridas ou conectadas. Na 
maioria dos casos, voce sera perguntado sobre como lidar com urna midia que e inserida ou conectada. 

■ CD de audio — Quando um CD de audio e inserido, voce pode optar por ser perguntado sobre o 

que fazer (o padrao), nao fazer nada, abrir o conteudo em urna janela da pasta ou selecionar a 
partir de varios leitores de CD de audio a serem carregados para reproduzir o conteudo. 
Rhythmbox (leitor de musica), Audio CD Extractor (gravador de CD) e Brassero (gravador de 
CD) estao entre as opęóes que voce tern para lidar com um CD de audio. 

■ DVD de video — Quando um DVD de video comercial e inserido, o sistema lhe pergunta o que o 

que voce quer fazer com esse DVD. \bce pode alterar esse padrao para carregar o Movie Player 
(Totem), o Brasero (gravador de DVD) ou outro tocador de midia que voce tenha instalado (como 
o MPlayer). 

■ Tocador de musica — Quando a midia inserida contem arquivos de audio, voce sera perguntado 

sobre o que fazer. \bce pode optar por fazer o Rhythmbox ou algum outro tocador de musica 
comeęar a tocar os arquivos selecionando o tocador a partir dessa caixa. 

■ Fotos — Quando a midia inserida (como um cartao de memória de urna camera digital) contem 

imagens digitais, voce e perguntado sobre o que fazer com essas imagens. \foce pode optar por 
nao fazer nada ou por abrir as imagens no yisualizador de imagens Shotwell (o aplicativo padrao 
para visualizaęao de imagens no ambiente GNOMĘ), ou outro gerenciador de fotos instalado. 

■ Software — Quando a midia inserida contem um aplicativo de execuęao automatica, um prompt de 

execuęao automatica sera aberto. Para mudar esse comportamento (para nao fazer nada ou abrir o 
conteudo de midia em urna pasta), voce pode selecionar a partir dessa caixa. 

■ Outras midias — Selecione a caixa Type sob o titulo Other Media para selecionar como as midias 

menos utilizadas sao manipuladas. Por exemplo, voce pode selecionar quais aęóes sao tomadas 
para lidar com DVDs de audio ou discos Blu-ray, CDs, DVDs ou discos HD DVD. \bce pode 
selecionar quais aplicativos carregar para disco de video Blu-ray, leitores de e-book, videos HD 
DVD, CDs de fotos, Super Video CDs e CDs de video. 

Notę que as configuraęóes descritas aqui estao emvigor somente para o usuario que esta conectado. Se 
varios usuarios tern contas de acesso, cada um pode ter sua própria maneira de lidar com midia 
removivel. 


ta 

Drodutor de filme Totem nao vai reproduzir DVDs de filmes, a menos que voce adicione um software extra para 







riptografar o DVD. Ha questóes juridicas e opęoes de outros tocadores de filmes que voce deve considerar se 
5r rep rod uzir filmes em DVD comerciais no Linux. 


As opęóes para conectar pen drives ou discos rigidos nao estao listadas nessa janela, mas se voce 
conectar uma dessas unidades em seu computador, os dispositivos serao criados automaticamente quando 
pluga-los (chamados /dev/sda, /dev/sdb/sda,/dev/sdb etc.). Quaisquer sistemas de arquivos 
encontrados nesses dispositivos sao automaticamente montados em /media e voce sera perguntado se 
deseja abrir uma janela do Nautilus para visualizar arquivos nesses dispositivos. Isso e feito 
automaticamente, assimvoce nao tern de fazer nenhuma configuraęao especial que isso aconteęa. 

Quando terminar de usar um pen drive, clique com o botao direito do mouse sobre o nome do dispositivo 
na janela do gerenciador de arquivos Nautilus e selecione Remove Drive. Essa aęao desmonta a unidade 
e remove o ponto de montagemno diretório /media. Depois disso, voce pode desligar emseguranęa o 
pen drive de seu computador. 


Trabalhando com módulos carregaveis 

Se voce adicionou um hardware ao computador que nao e detectado corretamente, voce pode precisar 
carregar manualmente ummódulo para esse hardware. O Linux vemcomumconjunto de comandos para 
carregar, descarregar e obter informaęóes sobre os módulos de hardware. 

Os módulos do kernel estao instalados nos subdiretórios /lib/modules/. O nome de cada 
subdiretório e baseado no numero de versao do kernel. Por exemplo, se o kernel fosse 3.1.0-7.fcl6.i686, 
o diretório lib/modules/3.1.0-7 . fcl6 . i68 6 conteria drivers para esse kernel. Módulos 
nesses diretórios podem ser carregados e descarregados conforme sao necessarios. 

Comandos para listar, carregar, descarregar e obter informaęóes sobre os módulos estao disponiveis com 
o Linux. As próximas seęóes descrevem como usar esses módulos. 

Listando os módulos carregados 

Para ver quais módulos estao carregados no kernel em execuęao em seu computador, use o comando 
lsmod. Considere o seguinte exemplo: 




# lsmod 


Module 

Size 

Used 

by 


snd seg oss 

38912 

0 



snd seg midi event 

9344 

1 

snd 

seq oss 

snd seg 

67728 

4 



snd seg oss,snd seg mi 

di event 




snd seg device 

8328 

2 

snd 

seq oss,snd 


autofs 

16512 

0 


ne2k pci 

9056 

0 


8390 

13568 

1 

ne2k pci 

ohcil394 

41860 

0 


ieeel394 

284464 

1 

ohcil394 

floppy 

65712 

0 


sg 

36120 

0 


scsi mod 

124600 

1 

sg 

parport pc 

39724 

0 


parport 

47336 

1 

parpcrt_pc 

ext3 

128424 

2 


jbd 

86040 

1 

ext3 


Esse resultado mostra urna variedade de módulos que foram carregados em um sistema Linux, incluindo 
varios para suportar o sistema de somALSA, alguns dos quais oferecem compatibilidade comOSS 

(snd_seq_oss). 

Para encontrar informaędes sobre qualquer umdos módulos carregados, use o comando modinfo. Por 
exemplo, voce poderia di gitar o seguinte: 

# /sbin/modinfo -d snd-seq-oss 

"OSS-compatible seąuencer module" 

Nem todos os módulos tern descrięóes disponiveis e, se nada estiver disponivel, dados nao serao 
retornados. Nesse caso, porem, o módulo snd-seq-oss e descrito como ummódulo sequenciador 
compativel com OSS. \bce tambempode usar a opęao -a para ver o autor do módulo, ou -n para ver o 
arquivo objęto que representa o módulo. As informaęóes sobre o autor muitas vezes terno endereęo de e- 
mail do criador do driver, assim voce pode contata-lo, se tiver problemas ou duvidas sobre o assunto. 

Carregando módulos 

\bce pode carregar qualquer módulo (como root) que foi compilado e instalado (um subdiretório 
/lib/modules) emseukernel emexecuęao como comando modprobe. 

Urna razao comum para carregar um módulo e usar um recurso temporariamente (como carregar um 
módulo para dar suporte a um sistema de arquivos especial emumdisquete que voce deseja acessar). 
Outra razao para carregar um módulo e identifica-lo como um que vai ser utilizado por urna determinada 
parte do hardware que nao pode ser automaticamente detectada. 

Eis umexemplo do comando modprobe sendo usado para carregar o módulo parport, que fornece as 
funęóes essenciais para compartilhar portas paralelas, comvarios equipamentos: 

# modprobe parport 

Depois que parport e carregado, voce pode carregar o módulo parport pc para definir as portas no 



estilo PC dispomveis atraves da interface. O módulo parport pc permite definir opcionalmente os 
endereęos e numeros IRQ associados com cada dispositivo que compartilha a porta paralela. Por 
exemplo: 

# modprobe parport_pc io=0x3bc irq=auto 

Nesse exemplo, umdispositivo e identificado como tendo umendereęo de 0x3bc e o IRQ para o 
dispositivo e autodetectado. 

O comando modprobe carrega módulos temporariamente — eles desaparecem na próxima 
reinicializaęao. Para adicionar permanentemente o módulo ao sistema, adicione a linha de comando 
modprobe para umdos Scripts de inicializaęao sendo executado no momento da inicializaęao. 

Removendo módulos 

Use o comando rmmod para remover um módulo de umkernel emexecuęao. Por exemplo, para remover 
o módulo parportpc do kernel atual, digite o seguinte: 

# rmmod parport_pc 

Se ele nao estiver atualmente ocupado, o módulo parport pc e removido do kernel. Se ele estiver 
ocupado, tente eliminar qualquer processo que possa estar usando o dispositivo. Entao, execute rmmod 
novamente. As vezes, o módulo que voce esta tentando remover depende de outros módulos que podem 
ser carregados. Por exemplo, o módulo usbcore nao pode ser descarregado, enquanto o módulo de 
impressora USB (usblp) estiver carregado, como mostrado a seguir: 

# rmmod usbcore 

ERROR: Module usbcore is in use by wacom,usblp,ehci_hcd,ohci_hcd 

Em vez de usar rmmod para remover módulos, voce pode usar o comando modprobe -r. Com 
modprobe -r, emvez de apenas remover o módulo desejado, voce tambempode remover módulos 
dependentes que nao estao sendo utilizados por outros módulos. 


Resumo 


Muitos recursos do Linux, especialmente aqueles que podem danificar o sistema ou afetar os outros 
usuarios, exigem que voce obtenha privilegios de root. Este capltulo descreve diferentes formas de obter 
privilegios de root: login direto, o comando su ou o comando sudo. Ele tambemcobre algumas das 
principais responsabilidades de um administrador de sistema e componentes (arquivos de configuraęao, 
ferramentas graficas etc.) que sao fundamentais para o trabalho de um administrador de sistema. 

O próximo capltulo descreve como instalar um sistema Linux. As abordagens para a instalaęao do Linux 
que sao cobertas nesse capitulo incluem como instalar a partir de um Live CD e a partir da midia de 
instalaęao. 




Exercicios 


Use esses exerdcios para testar seus conhecimentos de administraęao de sistema e permitir que voce 
explore as informaęóes sobre o hardware do sistema. Essas tarefas supoem que voce esta executando um 
Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem funcionem em outros sistemas 
Linux). Se voce empacar, soluęóes para as tarefas sao mostrados no Apendice B (embora no Linux 
costume haver varias maneiras de fazer urna tarefa). 

1 - A partir de um desktop GNOMĘ, abra a janela Time. Verifique se seu fuso horario esta definido 
corretamente. 

2 - Execute umcomando ps para classificar todos os processos emexecuęao no sistema por nome de 
usuario. Observe quais usuarios executam quais processos. 

3 - Encontre todos os arquivos no diretório /var/spool que pertencema outros usuarios que nao 
sejam o root e apresente urna longa listagem deles. 

4 - Torne-se o usuario root usando o comando su -. Para provar que voce ternprivilegios de root, 
crie umarquivo vazio outexto simples chamado /mnt/test. txt. Saia do shell quando 
terminar. Se estiver usando o Ubuntu, primeiro voce deve configurar sua senha de root (sudo 
passwd root). 

5 - Efetue login como um usuario comum e torne-se root usando su -. Edite o arquivo 
/etc/sudoers para permitir que sua conta de usuario regular tenha totais privilegios de root 
por meio do comando sudo. 

6 - Como o usuario ao qual voce acabou de dar privilegio de sudoers, use o comando sudo para 
criar umarquivo chamado /mnt/test2 . txt. Verifique se o arquivo esta la e se pertence ao 
usuario root. 

7 - Execute o comando taił -f no arquivo /var/log/messages e conecte umpendrive a 
urna porta USB de seu computador. Desmonte o dispositivo e remova-o, continuando a observar a 
saida em / var/log/messages. 

8 - Execute um comando para ver quais dispositivos USB estao conectados ao seu computador. 

9 - Finja que voce adicionou urna płaca de TV ao seu computador, mas o módulo necessario para 
usa-la (bttv) nao foi corretamente detectado e carregado. Carregue voce mesmo o módulo 
bttv e depois veja se ele foi carregado. Outros módulos foram carregados comele? 

10 -Remova o módulo bttv juntamente com todos os outros módulos que foram carregados comele. 

Listę seus módulos para garantir que isso foi feito. 




Instalando o Linux 


CAPITUL^) 


NESTE CAPITULO 

Escolhendo um metodo de instalaęao 
Instalando um sistema de bootunico ou multi-boot 
Executando urna instalaęao Live CD do Fedora 
Instalando o Red Hat Enterprise Linux 
Particionando o disco para instalaęao 
Entendendo o gerenciadorde inicializaęao GRUB 

I nstalar o Linux se tornou urna coisa muito facil de fazer — se voce esta comeęando com um 
computador que atende aos reąuisitos minimos (disco rigido, memória RAM, CPU etc.) e nao se 
importa emapagar completamente seu disco rigido, veja como escolher o melhor metodo de instaęao. 
A instalaęao e mais complexa se voce quiser se desviar de urna instalaęao padrao. Portanto, este capitulo 
comeęa com urna simples instalaęao de umlive CD e avanęa para tópicos de instalaęao mais complexos. 

Para facilitar sua introduęao no assunto de instalar o Linux, abordo aqui tres maneiras diferentes de 
instalaęao e guio voce ao longo de cada processo: 

■ Instalando a partir de um Live CD — Um Linux Live CD e um disco de somente leitura que 
contem tudo o que voce precisa para iniciar um sistema operacional Linux. Com o Live CD, voce 
pode ignorar totalmente o disco rigido do computador, na verdade, e possivel executar um Live 
CD em um sistema sem disco rigido. Urna vez que voce estiver executando o Live CD, alguns 
permitem a inicializaęao de um aplicativo que instala permanentemente o conteudo do Live CD 
em seu disco rigido. O procedimento de primeira instalaęao neste capitulo mostra como instalar 
permanentemente o Linux a partir de um Live CD do Fedora. 

■ Instalando a partir de um DVD de instalaęao — Um DVD de instalaęao, que esta disponivel com 
o Fedora, RHEL e outras distribuięóes Linux, oferece maneiras mais flexiveis de instalar o Linux. 
Em particular, em vez de apenas copiar os conteudos inteiros do Live CD para seu computador, 
comumDVD de instalaęao, voce pode escolher exatamente qual pacote de software deseja. O 
segundo procedimento de instalaęao que mostro neste capitulo guia-o ao longo do processo de 
instalaęao a partir de um DYD do Red Hat Enterprise Linux 6. 



■ Instalando na empresa — Sentar-se a frente de um computador e clicar para responder a algumas 
perguntas sobre a instalaęao nao e muito inconveniente se voce estiver instalando um unico 
sistema. Mas e se voce precisar instalar dezenas ou centenas de sistemas Linux? E se voce quiser 
instalar esses sistemas de maneiras particulares que precisamser repetidas emvarias 
instalaęóes? A ultima seęao deste capitulo descreve maneiras eficientes de instalar varios 
sistemas Linux usando recursos de instalaęao de rede e arquivos kickstart. 

Para experimentar os procedimentos neste capitulo junto comigo, voce deve ter a sua frente um 
computador que nao se importe de apagar os dados completamente. Como alternativa, voce pode usar um 
computador que temoutro sistema operacional instalado (como o Windows), desde que haja espaęo 
suficiente em disco disponivel nao utilizado. Descrevo o procedimento e o risco de perda de dados, se 
voce decidir criar umdesses arranjos de “boot dual” (Linux e Windows). 


Escolhendo um Computador _ 

\bce pode obter urna distribuięao Linux que roda em dispositivos de mao ou um PC antigo em seu 
armario com tao pouco como 24MB de RAM e um processador 486. Para ter urna boa experiencia de 
desktop PC com Linux, porem, voce deve considerar o que quer ser capaz de fazer com ele quando 
estiver escolhendo seu computador. 

E importante considerar as especificaęóes basicas que voce precisa de um computador do tipo PC para 
executar o Fedora e o Red Hat Enterprise Linux. Como o Fedora e usado como base para o Red Hat 
Enterprise Linux, os requisitos de hardware sao semelhantes para o hardware basico de desktop e de 
servidor nas duas distribuięóes. 

■ Processador — Um Pentium de 400 MHz e o minimo para a instalaęao de urna interface grafica. 
Para a maioria dos aplicatiyos, um processador de 32 bits e bom(x86). Mas se quiser configurar 
o sistema para fazer yirtualizaęao, voce precisa de um processador de 64 bits (x86_64). 


ta 

tiver uma maquina de 486 (pelo menos 100 MHz), considere experimentar o Damn Smali Linux 

np : //www. damnsmalllinux . org) ou o Slackware (http://www.slackware.org). Ele nao 

a mesma interface grafica, mas voce poderia fazer alguns dos exercicios de shell. Se voce tiver um MacBook, 
rimente uma versao GNOMĘ do Ubuntu, que voce pode obter em 

ps : //help.ubuntu.com/community/MacBook. 


■ RAM — O Fedora recomenda pelo menos 1GB de RAM, mas pelo menos 2GB ou 3GB seria 

muito melhor. Em meu desktop RHEL, estou executando um nayegador, um processador de texto e 
um leitor de e-mail e estou consumindo mais de 2GB de RAM. 

■ Unidade de DVD ou CD — \foce precisa ser capaz de iniciar o processo de instalaęao a partir de 

uma unidade de DVD, CD ou USB. Se voce nao puder iniciar a partir de um DVD ou CD, ha 
maneiras de iniciar a instalaęao a partir de um disco rigido ou uma unidade USB ou usando uma 
instalaęao PXE. Após o processo de instalaęao ser iniciado, eyentualmente mais softwares 







podem ser obtidos a partir de locais diferentes (atraves da rede ou a partir do disco rigido, por 
exemplo). 


ta 

pronuncia-se pixie) significa Preboot eXecution Environment. Voce pode inicializarum computadorcliente a partir 
ma płaca de interface de rede que seja compativel com o PXE. Se um servidor de boot PXE estiver dispomvel na 
, ele pode fornecer tudo que um computador cliente precisa para inicializar. 0 que ele inicializa pode ser um 
lador. Assim, com um boot PXE, e possivel fazer urna instalaęao completa do Linuxsem um CD, DVD ou qualquer 
i midia fisica. 


■ Płaca de rede — \bce precisa de um hardware de rede com ou sem fio para poder adicionar mais 

software ou obter atualizaęóes. O Fedora oferece repositórios de software livre se voce puder se 
conectar a internet. Para o RHEL, atualizaęóes estao disponiveis como parte de urna assinatura 
paga. 

■ Espaęo em disco — O Fedora recomenda pelo menos 10GB de espaęo em disco para urna 

instalaęao de desktop tipica, embora as instalaęóes possamvariar (dependendo do pacote que 
voce escolher instalar) de 600MB (para um servidor minimo e sem qualquer instalaęao de 
interface grafica) a 7GB (para instalar todos os pacotes a partir da midia de instalaęao). 
Considere a quantidade de dados que voce precisa armazenar. Enquanto documentos podem 
consumir muito pouco espaęo, videos podem consumir grandes quantidades de espaęo. (Em 
comparaęao, voce pode instalar o Damn Smali Linux Live CD em disco com apenas cerca de 
200MB de espaęo em disco.) 

■ Recursos de hardware especiais — Alguns recursos do Linux requerem recursos de hardware 

especiais. Por exemplo, para usar o Fedora ou o RHEL como umhost de virtualizaęao usando o 
KVM, o computador deve ter um processador que suporte a virtualizaęao. Esses incluem chips 
AMD-V ou Intel-VT. 

Se voce nao tern certeza sobre o hardware presente no computador, ha algumas maneiras de verifica-lo. 
Se voce estiver executando o Windows, a janela Propriedades do Sistema pode lhe mostrar o 
processador que voce tern, bem como a quantidade de RAM que esta instalada. Como urna alternativa, 
com o Fedora Live CD inicializado, abra um shell e digite dmesg | less para ver urna lista de dispositivos 
detectados em seu sistema. 

Com o hardware no lugar, voce pode optar por instalar o Linux a partir de um Live CD ou da midia de 
instalaęao, como descrito nas próximas seęóes. 


Instalando o Fedora a partir de um Live CD 

No Capitulo 1, voce aprendeu a obter e inicializar um Linux Live CD. Este capitulo guia-o ao longo do 
processo de instalaęao de um Live CD Fedora; assim, ele e permanentemente instalado em seu disco 
rigido. 







A simplicidade e a principal vantagem da instalaęao a partir de um Live CD. Essencialmente, voce esta 
apenas copiando o kernel, aplicativos e configuraęóes a partir da imagemdo CD para o disco rigido. Ha 
menos decisóes que voce tem de tomar para fazer esse tipo de instalaęao, mas voce nao pode escolher 
exatamente quais pacotes de software instalar. Após a instalaęao, e possivel adicionar e remover pacotes 
como quiser. 

As primeiras decisóes que voce tem de tomar sobre a instalaęao do Live CD incluemonde voce deseja 
instalar o sistema e se voce quer manter os sistemas operacionais existentes quando a instalaęao for 
concluida: 

■ Computador single-boot — A maneira mais facil de instalar o Linux e nao ter de se preocupar 

com outros sistemas operacionais ou dados no computador e deixar o Linux substituir tudo. 
Quando voce estiver pronto, o computador inicializara diretamente no Fedora. 

■ Computador multi-boot — Se ja tiver o Windows instalado em um computador e nao quiser 

apaga-lo, voce pode instalar o Fedora junto como Windows no sistema. Entao, durante o boot, e 
possivel escolher qual sistema operacional inicializar. Para ser capaz de instalar o Fedora em um 
sistema diferente do sistema operacional instalado, voce deve ter espaęo em disco disponivel 
(fora da partięao do Windows) ou ser capaz de encolher o sistema Windows para ganhar espaęo 
livre suficiente para instalar o Fedora. 

■ Barę metal ou sistema virtual — A instalaęao do Fedora resultante pode ser instalada para 

inicializar diretamente a partir do hardware do computador ou a partir de um sistema operacional 
existente no computador. Se tiver um computador que esta sendo executado como urna maquina 
virtual, voce pode instalar o Fedora nesse sistema como umconvidado virtual. Produtos de host 
de virtualizaęao incluem o KVM, o Xen e o VirtualBox (para sistemas Finux e UNIX, bem como 
Windows e Mac), o Hyper-V (para sistemas Microsoft) e o VMWare (sistemas Finux e 
Microsoft). \bce pode usar a imagem ISO do Fedora Five CD a partir do disco ou gravar um CD 
para iniciar urna instalaęao a partir do host hyperyisor escolhido. 

O procedimento a seguir guia voce pelo processo de instalaęao do Fedora Five CD descrito no Capitulo 
1 para seu computador local. 


inęao 

s de iniciar, tenha em mente que, por padrao, esse procedimento apaga todos os dados de seu disco rigido. Se 
er impedir que urna area do disco (urna partięao) seja substituida, voce tera a oportunidade de fazer isso, desde 
tenha espaęo suficiente para concluir a instalaęao. Desconecte todas as unidades USB que tiver conectado ao 
computador, porque elas tambem serao substituidas. 


1 - Obtenha o Fedora. Escolha a imagem do Fedora Five CD que voce deseja usar, transfira-a 
para seu sistema local e grave-a emumCD, como descrito no Capitulo 1. 

2 - Inicialize o Live CD. Quando voce vir a tela de inicializaęao, selecione Start Fedora. 

3 - Inicie a instalaęao. Quando a tela do desktop aparecer, posicione o mouse sobre o icone 
Install to Hard Drive e selecione-o. A Figura 9.1 mostra umexemplo de icone Install to 
Hard Drive no desktop do Fedora Five CD. 






Selecione o teclado. Quando solicitado, escolha o idioma/tipo de teclado que melhor se 
adapte ao seu sistema (como U.S. English ou Brasil ABNT2) e selecione Next. \foce sera 
perguntado sobre os tipos de dispositivos de armazenamento a usar. 



fRA9.1 


ndo o processo de instalaęao a partir de um Live CD. 


5 Selecione armazenamento basico ou especializado. Tradicionalmente, o sistema 
operacional inteiro do computador seria instalado no disco rigido local do computador 
(Basic Storage Device). Hoje e comum em grandęs empresas instalar o sistema operacional 
tambem em um ou mais dispositivos de armazenamentos especiais, como redes de area de 
armazenamento (storage area networks, SANs), Fibrę Channel over Ethernet, dispositivos 
de armazenamento de acesso direto (DASDs), dispositivos RAID de firmware ou 
dispositivos Multipath. Descreverei esses tipos de dispositivos na seęao sobre a instalaęao 
do Red Hat Enterprise Linux. Para urna instalaęao simples de desktop ou do servidor 
pessoal, escolha Basic e selecione Next. \bce sera solicitado a fornecer seu hostname. 

6 - Escolha umnome de maquina. Digite umnome para seu computador na caixa Hostname. 
Esse pode ser um hostname simples (myhost) ou umnome de dominio totalmente 
ąualificado (myhost. example . com). Quando terminar, selecione Next. \bce sera 
solicitado a informar seu fuso horario. 

7 - Informe o fuso horario. Escolha um fuso horario para sua maąuina no mapa ou na lista 
mostrada. Entao, verifique se o relógio do sistema utiliza Tempo Universal Coordenado 
(UTC) ou a hora local. Para um desktop, voce geralmente escolhe seu fuso horario local. 
Servidores que sao acessados a partir de varios fusos horarios costumam configurar a data e 
a hora com o UTC, tambem chamado de Greenwich Mean Time (GMT). O site U.S. 

National Weather Seryice descreye como diferentes fusos horarios se relacionam com UTC 
(http: / /www. nhc . noaa . gov/aboututc . shtml). Selecione Next para continuar. 

8 - Defina a senha de root. \bce sera solicitado (duas vezes) a definir a senha inicial de root 
do seu sistema. A senha deve ter pelo menos seis caracteres. Se a senha for considerada 
muito facil (como urna palayra comum), voce e informado disso e tern a oportunidade de 
muda-la ou usa-la assim mesmo. Urna boa senha inclui urna mistura de letras (maiusculas e 
minusculas), numeros e sinais de pontuaęao e tern pelo menos oito caracteres. Selecione 
Next para continuar. 

9 - Selecione o tipo de instalaęao. Aqui voce escolhe de onde vira o espaęo para sua 
instalaęao. Se voce quiser manter seus dados no disco rigido, e muito importante fazer a 
seleęao certa. Por exemplo, se voce tiver um sistema Windows instalado que deseja usar em 
umarranjo dual-boot, voce precisa se certificar de nao apagar a partięao do Windows. Eis 
suas opęóes (junto com as seleęóes na parte inferior da tela, descritas ao lado): 

■ Use Ali Space — Se nao ha problema em todo o seu disco ser apagado, escolha essa 

opęao. E a seleęao mais facil e limpa, mas só deve ser selecionada se voce nao se 
importa de perder tudo que esta atualmente instalado no computador. 

■ Replace Existing Linux Systems — Todas as partięóes Linux (contendo sistemas de 




arquivos Linux ext, partiędes de swap e semelhantes) sao substituidos por essa seleęao. 
Partiędes comumente usadas com sistemas Windows (VFAT, FAT32, ou NTFS) nao sao 
removidas. Use essa seleęao se quiser manter um sistema Windows instalado em seu 
computador e potencialmente fazer dual boot. 

■ Shrink Current System— Para obter algum espaęo livre a fim de fazer urna nova 

instalaęao, voce pode tentar diminuir urna partięao existente antes de continuar com a 
instalaęao. 

■ Use Free Space — Se nao houver espaęo livre suficiente em seus discos de sistema que 

esteja fora das partiędes existentes, voce pode escolher usar esse espaęo para sua 
instalaęao. Nesse caso, nenhuma partięao existente (Windows ou Linux) sera apagada ou 
reutilizada. 

■ Create CustomLayout — Escolha essa opęao se, emvez de deixar o instalador 

particionar seu disco, voce mesmo quer fazer isso. Se preferir, em vez dessa seleęao, 
voce pode escolher um dos outros tipos de instalaęao e entao selecione a caixa Review 
and modify partitioning layout (Revise e modifique o layout do particionamento). Isso 
permite que voce veja o que o instalador recomenda para o particionamento de disco, 
mas permite que voce revise e modifique a recomendaęao, se quiser. 

Outras opęoes nessa tela permitem fazer o seguinte: 

■ Use LVM — Marque essa caixa (ela aparece selecionada por padrao), se voce quiser usar 

o recurso Logical \blume Management (LVM) para criar mais partiędes de disco. Essa 
opęao acrescenta alguma complexidade ao seu particionamento, mas tambem oferece 
maior flexibilidade. Se optar por usar LVM, voce temmaior flexibilidade para aumentar 
e diminuir sistemas de arquivos mais tarde do que se usar partiędes de disco padrao. 
Recomendo que voce mantenha essa caixa selecionada. Consulte o Capitulo 12, 
“Gerenciando discos e sistemas de arquivos”, para obter informaęoes sobre a criaęao de 
partiędes LVM. 

Encrypt system— Se escolher essa opęao, o sistema de arquivos Linux sera criptografado, 
de modo que voce só podera ver o conteudo das partiędes se puder digitar urna senha 
quando o sistema tentar monta-los no momento da inicializaęao. \bce sera solicitado a 
fornecer essa senha, que deve ter pelo menos oito caracteres. Adicionar urna senha aqui 
protege a partięao LVM, mas nao protege com senha a partięao /boot. \hce pode escolher 
criptografar a partięao /boot ou qualquer umdos volumes lógicos de LVM, se optar por 
analisar o esquema de particionamento. 

Review and modify partitioning layout — Recomendo que voce sempre selecione essa 
caixa para poder ver o esquema de particionamento que esta a ponto de habilitar, e altera- 
lo, se quiser. 



FRA9.2 


lonando seu disco. 


A Figura 9.2 mostra um exemplo da tela de particionamento que aparece depois que voce seleciona as 
opęóes Use Ali Space, Use LVM e Review and modify partitioning layout. 

■ Modify partitioning — \hce pode modificar o particionamento como quiser. Detalhes sobre como 
modificar o particionamento a partir dessa tela, bem como a forma como o gerenciador de 
inicializaęao GRUB funciona, sao descritos mais adiante nesta seęao. Por enquanto, examine a 
Figura 9.2 e veja que ha urna unidade de 160MB de disco rigido (/dev/sda), que temtres 
partięóes fisicas (sdal, sda2 e sda3). O Fedora usa o GRUB 2, que incorpora duas partięóes 
de inicializaęao: sdal e urna pequena partięao contendo dados de inicializaęao brutos do stage2 
(os dados de inicializaęao do GRUB 2 sao muito grandes para caber no registro mestre de 
inicializaęao do disco, como o GRUB 1 faz) e sda2 contem dados como o kernel do Linux e 
informaęóes de configuraęao que sao montadas em /boot. 

No exemplo ilustrado na Figura 9.2, sda3 consome todo o espaęo restante (mais de 150GB) 
como umunico volume fisico LVM. Esse volume e aplicado ao grupo de volumes vg_myhost, 
que e dividido emumvolume lógico de 50GB separado, chamado lv_root, montado sobre a 
raiz do sistema de arquivos (/) e um sistema de arquivos de 92GB, chamado lv_home, montado 
em /home. Tambemha urna partięao de swap de cerca de 500MB. \bce pode remover ou 
modificar as partięóes conforme descrito mais tarde neste capitulo. 

Se tiver partięóes Windows em seu sistema que voce deseja manter, voce deve ve-las na tela. 
\hce deve se certificar de que elas nao sejam selecionadas para seremreformatadas. (Clique 
duas vezes na entrada e, entao, na janela que aparece, desmarque a caixa Format partition para 
que essas partięóes nao sejam formatadas.) O processo de instalaęao deve deixa-las intactas e 
elas devem estar disponiveis após a instalaęao do Linux. 

Quando estiver satisfeito, clique em Next. \bce recebera um prompt informando que o disco esta 
prestes a ser sobrescrito. Essa e sua ultima chance de voltar atras antes de seus dados serem 
sobrescritos no disco. Certifique-se de que o particionamento esta como voce quer, porque nao ha 
como voltar atras! 

10 - Reinicie ąuando terminar. Nesse ponto, o disco e reparticionado, os sistemas de arquivos sao 
formatados, a imagem do Linux e copiada para o disco rigido e as configuraęóes necessarias sao 
implementadas. Depois de fazer isso, clique emReboot. Ejete o Live CD. O computador deve 
inicializar seu sistema Fedora recem-instalado. (\hce pode precisar realmente desligar o 
computador para reinicializar.) 

u - Execute o firstboot. Aprimeira vez que voce iniciar o novo sistema, urna tela de firstboot 
permite que voce faęa algumas configuraęóes iniciais. Eis o que voce faz: 

■ Welcome — Clique em Next na tela Welcome (Bem-Vindo). 




■ License — Leia as informaęóes de licenęa e clique em Next. 

■ Datę and Time — Selecione a data e hora atuais e clique em Forward. Se voce deseja se 

conectar a um servidor NTP para sincronizar o horario com um servidor de data/hora, em vez 
de defini-lo manualmente, clique na caixa Synchronize datę and time e use os servidores 
padrao do Fedora ou adicione outros servidores de data/hora que voce quiser. Clique em 
Forward para prosseguir. 

■ Create User — E urna boa pratica ter pelo menos um usuario regular (nao-root) em todos os 

sistemas, pois o root deve ser utilizado apenas para tarefas administrativas e nao para uso 
rotineiro do computador. Adicionar o nome de usuario completo, o nome de usuario abreviado 
e a senha. Para permitir que esse usuario faęa tarefas administrativas sem saber a senha de 
root, selecione a caixa Add to Adminisbators group. 

Normalmente, esse usuario e adicionado aos arquivos passwd e shadow locais para 
autenbcaęao. Se sua localizaęao ubliża a autenbcaęao de rede central, clique no botao Use 
NetWork Login e selecione o bpo e a localizaęao de seu servidor de autenbcaęao. Se voce 
quiser fazer o ajuste fino da nova conta de usuario, clique no botao Advanced. Isso permite que 
voce use a janela User Manager para configurar o usuario (consulte o Capitulo 11 para detalhes 
sobre como usar essa janela para gerenciar contas de usuario). 

Clique em Forward para conbnuar. 

1Z Send hardware profile. Para ajudar o projeto Fedora a saber o hardware emque o sistema deles 
esta sendo instalado, voce pode optar por enviar o perfil anonimamente para o projeto Fedora. 
Selecione Finish depois de fazer essa seleęao. 

14 Logue-se e comece a usar o Fedora. Atela de login aparece nesse ponto, permitindo que voce 
faęa login com a conta de usuario e a senha que voce acabou de criar. 

14 Atualize os softwares. Para manter seu sistema seguro e atualizado, urna das primeiras tarefas 
que voce deve fazer depois de instalar o Fedora e obter as ultimas vers5es do software que 
acabou de instalar. Se seu computador hver urna conexao com a internet (conectar-se a urna rede 
com fio Ethernet ou selecionar urna rede sem fio acessivel a parbr do desktop resolve isso), voce 
pode simplesmente abrir um terminal como root e digitar yum update para baixar e atualizar 
todos os pacotes a parbr da internet. Se um novo kernel for instalado, voce pode reiniciar seu 
computador para faze-lo funcionar. 

Nesse ponto, voce pode comeęar a usar o desktop, conforme descrito no Capitulo 2. \bce tambempode 
usar o sistema para fazer os exercicios de qualquer um dos capitulos deste livro. 


Instalando o Red Hat Enterprise Linux a partir de Midia de 
Instalaęao 


Alem de oferecer um Live CD, a maioria das disbibuięóes Linux oferece urna unica imagem ou um 
conjunto de imagens que podem ser usadas para instalar a disbibuięao. Em vez de oferecer urna unica 
imagem nessa midia que e copiada para o disco rigido, o software e dividido em pacotes que voce pode 




selecionar para atender as suas necessidades. UmDVD de instalaęao completo, por exemplo, pode 
permitir que voce instale qualquer coisa a partir de um servidor minirno para um desktop completo. 

Neste capitulo, eu uso um DVD de instalaęao Red Hat Enterprise Linux 6.2 como mldia de instalaęao. 
Reveja as informaęóes de hardware e as descrięóes de dual boot na seęao anterior antes de iniciar a 
instalaęao do RHEL. 

Siga este procedimento para instalar o Red Hat Enterprise Linux a partir de um DVD de instalaęao: 

L Obtenha a midia de instalaęao. O processo de download de imagens ISO de instalaęao do 
RHEL e descrito na pagina How to Download Red Hat Installation Files (Como baixar 
arquivos de instalaęao do Red Hat). Se ainda nao e um cliente da Red Hat, voce pode 
solicitar urna cópia de avaliaęao aqui: 

https://www.redhat.com/products/enterprise- 
linux/server/download.html. 

Isso requer que voce crie urna conta Red Hat. Se isso nao for possivel, voce pode baixar um 
DVD de instalaęao a partir de um site espelho do projeto CentOS para obter urna 
experiencia semelhante: 

http://www .centos.org/ modules/tinycontent/index.php?id=30. 

2 - Inicialize a midia de instalaęao. Insira o DVD no drive de DVD e reinicie seu computador. 
Atela Welcome aparece. 

3 - Execute urna nova instalaęao. Selecione a entrada Install or upgrade an existing system 
(Instale ou atualize um sistema existente) para fazer urna nova instalaęao do RHEL. Se 
precisar modificar o processo de instalaęao, voce pode adicionar opęóes de inicializaęao 
pressionando a tecla Tab com urna entrada de inicializaęao em destaque e digitando as 
opęóes desejadas. Consulte o “Usando opęóes de inicializaęao de instalaęao”, mais adiante 
neste capitulo. 

4 - Teste a midia. \bce sera solicitado a testar o disco de instalaęao do DVD quanto a erros. 
\bce pode selecionar OK (para testa-lo) ou Skip (para pular o teste). 

5 - Veja a pagina Welcome. Selecione Next para continuar. \bce sera solicitado a selecionar o 
idioma. 

6 - Selecione um idioma. Selecione seu idioma e clique emNext. \bce e convidado a 
identificar o tipo de teclado. 

7 - Identifiąue o teclado. Identifique o tipo de layout de teclado que voce esta usando (com 
base no idioma e pais) e clique em Next. \bce sera solicitado a selecionar armazenamento 
basico ou especializado. 

8 - Selecione o armazenamento. Escolha Basic Storage para ter o RHEL instalado emseu 
disco rigido local ou Specialized Storage para usar um dispositivo de armazenamento de 
rede e clique em Next. Consulte “Utilizando armazenamento especializado”, mais adiante 
neste capitulo, para obter detalhes sobre os tipos de armazenamento de rede que estao 
disponiveis e o que informar se voce selecionar Specialized Storage. 

9 - Escolha umnome de maquina. Digite umnome para seu computador na caixa Hostname. 



Pode ser umhostname simples (myhost) ouumnome de domini o totalmente ąualificado 
(myhost. example . com). Quando terminar, selecione Next. \bce sera solicitado a 
informar seu fuso horario. 

10 - Informe o fuso horario. Escolha um fuso horario para sua maąuina no mapa ou na lista 
apresentada (como descrito na seęao Fedora). Selecione Next para continuar. 

u - Defina a senha de root. \bce sera solicitado (duas vezes) para definir a senha inicial de 
root de seu sistema (como descrito na seęao Fedora). Selecione Next para continuar. 

12 - Selecione o tipo de instalaęao. Escolha o tipo de instalaęao e selecione Review and 
modify partitioning layout (como descrito na seęao “Instalaęao do Fedora”). O 
particionamento que recebi por padrao e mostrado na Figura 9.3. 



FRA9.3 


ionando durante a instalaęao do RHEL 


A principal diferenęa entre as partięóes do disco na Figura 9.3 e o particionamento do Fedora e que 
RHEF 6.2 ainda usa o GRUB 1, enąuanto que o Fedora usa o GRUB 2 (que exige urna pequena partięao 
adicional para conter os dados de inicializaęao brutos estendidos em sdal). Para alterar esse 
particionamento, consulte o “Particionando discos rigidos”, mais adiante neste capitulo. Fembre-se de 
que depois que voce selecionar salvar o novo particionamento, e tarde demais para recuperar dados das 
partięóes que voce escolheu reformatar. 

13 Modifiąue o gerenciador de inicializaęao. O gerenciador de inicializaęao GRUB e 

instalado no registro mestre de inicializaęao (master boot record, MBR) do primeiro disco 
emseu sistema (/dev/sda) por padrao. \bce pode definir urna senha no gerenciador de 
inicializaęao (selecione a caixa Use a boot loader password e altere a senha), que faz com 
que voce seja perguntado se deseja alterar as opęóes durante a inicializaęao. A Figura 9.4 
mostra essa tela depois de voce escolher adicionar um sistema Windows que esta instalado 
no segundo disco (/dev/sdbl) ao menu de inicializaęao. Quando o sistema e 
inicializado, voce sera capaz de selecionar para iniciar o Finux (/dev/sdal) ou o 
Windows (/dev/sdbl). 
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onando o Windows ao gerenciador de inicializaęao para habilitar a inicializaęao dual 


O RHEL 6.2 usa o GRUB 1, que e criado principalmente no arquivo 
/boot/grub/grub . conf . Consulte “Utilizando o gerenciador de inicializaęao 
GRUB”, mais adiante neste capitulo, para obter mais informaęóes sobre o GRUB. 

14 Escolha pacotes de software. Ao contrario dos Live CDs, voce pode selecionar 

exatamente quais pacotes instalar a partir do DVD de instalaęao do RHEL. Voce comeęa 
selecionando um grupo de pacotes (servidor basico, servidor de banco de dados, servidor 
web, servidor de gerenciamento de identidades, host de yirtualizaęao, desktop, Workstation 
de desenvolvimento de software, ouminimo). 

Sugiro que voce comece com uma instalaęao desktop e depois adicione pacotes do seryidor 
a medida que precisar testa-los. Para refinar sua instalaęao, selecione o botao Customize 
Now na parte inferior da pagina para ver uma pagina que lhe permite escolher grupos de 
softwares adicionais e pacotes de software individuais. 

\bce pode conectar-se a repositórios de software adicionais, descritos no Capitulo 10, 
“Obtendo e gerenciando software”, que estao fora da distribuięao RHEL para poder instalar 
pacotes de software adicionais. Depois de ter feito suas seleęóes, clique emNext para 
continuar. Depois que as dependencias de software foram resolvidas, o instalador comeęa a 
instalar os pacotes. 

15 - Conclua a instalaęao. Quando a instalaęao estiver concluida, clique emReboot. Ejete o 
DVD quando o sistema for reiniciado e o Red Hat Enterprise Linux iniciara a partir do 
disco rigido. 

16 - Execute o firstboot. Se voce instalou uma interface de desktop, a tela firstboot aparece na 
primeira vez que voce inicializa o sistema. Eis o que voce faz: 

■ Welcome — Clique em Next na tela Welcome. 

■ License — Leia e concorde com as informaęóes de licenęa e clique em Next. 

■ Set Up Software Updates — Conforme descrito no Capitulo 10, para obter downloads e 

atualizaęóes de software, voce deve se inscreyer no Red Hat Enterprise Linux. Essa tela 
descreye como se inscreyer para atualizaęóes de software. 

■ Create User — Crie uma conta de usuario regular e clique em Forward para continuar. 

Voce tambem tern a oportunidade de usar bancos de dados de autenticaęao de rede ou 
refinar as configuraęóes de conta de usuario. 

■ Datę and Time — Selecione a data e hora e clique em Next. Se voce deseja se conectar a 

um seryidor NTP para sincronizar o horario com um seryidor de data/hora, em vez de 
defini-lo manualmente, selecione a caixa Synchronize datę and time e use os seryidores 
padrao do Fedora ou adicione seus próprios. Clique em Forward para prosseguir. 




■ y= — \bce pode escolher reservar uma certa ąuantidade de memória RAM para o recurso 
kdump. Se kdump estiver habilitado, a RAM reservada pode ser usada no caso de seu 
kernel travar para ter um lugar em que o dump do kernel possa ser armazenado. Sem 
kdump, nao haveria maneira de diagnosticar um kernel travado. 

Agora voce deve ser capaz de entrar em seu sistema Red Hat Enterprise Linux. Uma das primeiras coisas 
que voce deve fazer e registrar seu sistema na Red Hat NetWork e atualizar seu software. Consulte o 
Capitulo 10 para obter informaęóes sobre como obter atualizaęóes de software. 


Instalando o Linux na Empresa 

Se voce for administrar dezenas, centenas ou ate milhares de sistemas Linux em uma grandę empresa, 
seria terrivelmente ineficiente ter de ir em cada computador para digitar e clicar em cada instalaęao. 
Felizmente, com o Red Hat Enterprise Linux e outras distribuięóes, voce pode automatizar a instalaęao de 
tal forma que tudo o que voce precisa fazer e ligar um computador e inicializar a partir da płaca de rede 
dele para obter sua instalaęao Linux desejada. 

Embora tenhamos focado a instalaęao do Linux a partir de um CD ou DVD, existem muitas outras 
maneiras de carregar uma instalaęao do Linux e muitas maneiras de completa-la. A lista de itens a seguir 
guia voce pelo processo de instalaęao e descreve maneiras de mudar esse processo ao longo do caminho: 

■ Carregue a midia de instalaęao. \bce pode iniciar uma instalaęao a partir de qualquer midia que 

possa ser inicializada a partir de um computador: CD, DVD, USB, disco rigido ou płaca de rede 
com suporte PXE. O computador percorre sua ordem de inicializaęao e olha para o registro 
mestre de inicializaęao na midia fisica ou procura um servidor PXE na rede. 

■ Iniciar o kernel anaconda. O trabalho do gerenciador de inicializaęao e apontar para o kernel 

especial (e, possivelmente, um disco de RAM inicial) que inicia o instalador Linux (chamado 
anaconda). Assim, qualquer uma das midias descritas precisa simplesmente apontar para a 
localizaęao do kernel e o disco de RAM inicial a firn de iniciar a instalaęao. Se os pacotes de 
software nao estiverem na mesma midia, o processo de instalaęao lhe perguntara onde obter os 
pacotes. 

■ Adicione o kickstart ou outras opęoes de inicializaęao. Opęóes de inicializaęao (descritas mais 

tarde neste capitulo) podem ser passadas para o kernel anaconda a firn de configurar como ele 
inicia. Uma opęao suportada pelo Fedora e o RHEL permite que voce passe a localizaęao de um 
arquivo de kickstart para o instalador. O kickstart pode conter todas as informaędes necessarias 
para concluir a instalaęao: senha de root, particionamento, fuso horario etc., para configurar 
melhor o sistema instalado. Assim que o instalador iniciar, ele solicita as informaędes 
necessarias ou usa as respostas fornecidas no arquivo de kickstart. 

■ Encontre pacotes de software. Pacotes de software nao precisam estar na midia de instalaęao. 

Isso permite que voce inicie uma instalaęao a partir de uma midia de inicializaęao que contem 
apenas um kernel e o disco de RAM inicial. A partir do arquivo de kickstart ou de uma opęao que 
voce digita manualmente para o instalador, e possivel identificar a localizaęao do repositório 
onde estao os pacotes de software RPM. Essa localizaęao pode ser um CD local (cdrom), site 




(http), site de FTP (FTP), compartilhamento NFS (NFS), NFS ISO (nfsiso) ou disco local (HD). 


■ Modifiąue a instalaęao com Scripts de kickstart. Scripts incluidos em um kickstart podem 

executar comandos que voce escolhe, antes ou após a instalaęao, para configurar melhor o sistema 
Linux. Esses comandos podem adicionar usuarios, alterar permissóes, criar arquivos e diretórios, 
baixar arquivos da rede ou configurar o sistema instalado exatamente como voce especificar. 

Embora a instalaęao do Linux emambientes corporativos esteja alemdo escopo deste livro, quero que 
voce entenda as tecnologias que estao disponiveis quando quiser automatizar o processo de instalaęao do 
Linux. Eis algumas dessas tecnologias disponiveis para uso como Red Hat Enterprise Linux, junto com 
links de onde voce pode encontrar mais informaęóes sobre eles: 

■ Instale o servidor — Se configurar um servidor de instalaęao, voce nao precisa transportar os 

pacotes de software para cada maquina em que instalar o RHEL. Essencialmente, voce copia 
todos os pacotes de software a partir da midia de instalaęao do RHEL para um servidor web 
(http), servidor FTP (FTP), ou seryidor NFS (NFS) e aponta para a localizaęao do seryidor ao 
iniciar o instalador. O RHEL Installation Guide descreve como configurar um seryidor de 
instalaęao (http : //docs . redhat. com/docs/en- 
US/Red_Hat_Enterprise_Linux/6/htmlsingle/ 

Installation_Guide/index.html#sl-steps-network-installs-x8 6). 

■ Seryidor PXE — Se tiver um computador com urna płaca de rede que suporta o PXE (como a 

maioria suporta), voce pode configurar a BIOS de seu computador para inicializar a partir dessa 
płaca de rede. Se voce configurar um seryidor PXE nessa rede, esse seryidor pode apresentar um 
menu para o computador contendo as entradas para carregar um processo de instalaęao. O RHEL 
Installation Guide fornece informaędes sobre como configurar seryidores PXE para instalaęao 
(http://docs.redhat.com/docs/en- 
US/Red_Hat_Enterprise_Linux/6/html- 

single/Installation_Guide/index.html#ap-installserver). 

■ Arquivos de kickstart — Para automatizar totalmente a instalaęao, voce cria o que e chamado de 

arquivo de kickstart. Ao passar um arquivo de kickstart como urna opęao de inicializaęao para um 
instalador de Linux, voce pode dar respostas a todas as perguntas de instalaęao que normalmente 
precisa responder. Ao instalar o RHEL, um arquivo de kickstart contendo respostas para todas as 
suas duyidas sobre a instalaęao que voce acabou de fazer esta contido no arquivo 
/root/anaconda-ks . cf g. \bce pode fornecer o arquivo para sua próxima instalaęao a firn 
de repetir a configuraęao de instalaęao ou usar esse arquivo como um modelo para diferentes 
instalaęóes. 

Consulte o RHEL Installation Guide para obter informaędes sobre como passar um arquivo de 
kickstart para o instalador do anaconda (http : / /docs . redhat. com/docs/en- 
US/Red_Hat_Enterprise_Linux/6/html- 
single/Installation_Guide/index.html#ch-parmfileś- 
Kickstart_parameters) e sobre como criar seus próprios arquivos de kickstart 
(http://docs.redhat.com/docs/en- 
US/Red_Hat_Enterprise_Linux/6/html- 
single/Installation_Guide/index.html#chkickstart2). 



Explorando Tópicos Comuns Sobre a Instalaęao _ 

Alguns tópicos sobre a instalaęao abordados anteriormente neste capitulo exigem maiores explicaę5es 
para voce poder aplica-los completamente. Leia os tópicos desta seęao para entender melhor temas 
especificamente relacionados com a instalaęao. 

Atualizando ou instalando a partir do zero 

Se voce tiver urna versao anterior do Linux ja instalada em seu computador, Fedora, RHEL, Ubuntu e 
outras distribuięóes Linux oferecem urna opęao de atualizaęao. Isso permite que voce atualize todos os 
pacotes, por exemplo, de urna versao 1 da distribuięao para a versao 2. Eis algumas regras gerais antes 
de fazer urna atualizaęao: 

■ Remova pacotes extras. Se tiver pacotes de software de que voce nao precisa, remova-os antes 

de fazer urna atualizaęao. Processos de atualizaęao normalmente atualizam somente os pacotes 
que estao em seu sistema. Atualizaęóes, em geral, fazem mais verificaęóes e comparaęóes do que 
instalaęóes limpas; por isso, remover qualquer pacote pode economizar tempo no processo de 
atualizaęao. 

■ Verifique os arquivos de configuraęao. Um procedimento de atualizaęao do Linux costuma deixar 

cópias de arquivos de configuraęao antigos. Vóce deve verificar se os novos arquivos de 
configuraęao ainda funcionam para voce. 


:a 

ilar o Linux a partir do zero e mais rapido do que fazer uma atualizaęao. Tambem resulta em um sistema Linux 
limpo. Portanto, se voce nao precisa dos dados em seu sistema (ou se voce tiver um backup), recomendo que 
uma nova instalaęao. Dai, voce pode restaurarseus dados para um sistema recem-instalado. 


Algumas distribuięóes Linux, principalmente o Gentoo, adotaram a abordagem de fornecer atualizaęóes 
continuas. Em vez de obter uma nova versao a cada poucos meses, voce simplesmente adquire pacotes 
atualizados continuamente a medida que se tornamdisponiveis e os instala emseu sistema. 

Inicializaęao dual 

Ter varios sistemas operacionais inicializaveis no mesmo computador e possivel. \bce pode fazer isso 
usando multiplas partięóes em um disco rigido e/ou varios discos rigidos e, entao, instalando sistemas 
operacionais diferentes em partięóes diferentes. Desde que o gerenciador de inicializaęao contenha 
informaęóes de inicializaęao para cada um dos sistemas operacionais instalados, voce sera capaz de 
escolher qual deles executar no momento da inicializaęao. 


jnęao 

ora as ferramentas para redimensionar partięóes do Windows e configurar sistemas multi-boottenham melhorado 










ultimos anos, ainda ha algum risco de perda de dados em sistemas de dual-boot Windows/Linux. Diferentes 
mas operacionais muitas vezes tern diferentes visoes de tabelas de partięao e registros mestres de inicializaęao, 
e pode fazer com que sua maquina nao inicie (pelo menos temporariamente) ou causar a perda permanente de 
)s. Sempre faęa backup de seus dados antes de tentar redimensionar um sistema de arquivos Windows (NTFS ou 
para criarespaęo para o Linux. 


Se o computador que voce esta usando ja tem um sistema Windows nele, muito possivelmente o disco 
rigido inteiro e dedicado ao Windows. Embora voce possa executar umLinux de boot, como o Knoppix 
ou o Damn Smali Finux, sem tocar no disco rigido, para fazer urna instalaęao mais permanente voce vai 
querer encontrar espaęo em disco fora da instalaęao do Windows. Ha algumas maneiras de fazer isso: 

■ Adicione um disco rigido. Em vez de mexer com sua partięao do Windows, voce pode 

simplesmente adicionar um disco rigido e dedica-lo ao Linux. 

■ Redimensione a partięao do Windows. Se tiver espaęo disponlvel em sua partięao Windows, 

voce pode diminuir a partięao a firn de disponibilizar espaęo em disco para dedicar ao Linux. 
Ferramentas comerciais como o Partition Magie da Symantec 
(http : / / www. Symantec . com) ou o Acronis Disk Director 

(http : / /www. acronis . com) estao disponlveis para redimensionar partięóes de disco e 
configurar um gerenciador de inicializaęao viavel. Algumas distribuięóes Linux (particularmente 
sistemas inicializaveis usados como CDs de recuperaęao) incluem urna ferramenta chamada 
GParted, que e um clone de código-fonte aberto do Partition Magie (que inclui software do 
projeto Linux-NTFS para redimensionar partięóes NTFS do Windows). 


ta 

e yum install gparted (no Fedora ou no RHEL) ou apt-get install gparted (no Ubuntu) 
instalar o GParted. Execute gparted como rootpara inicia-lo. 


Antes de tentar redimensionar a partięao do Windows, talvez voce precise desfragmenta-la. Para 
desfragmentar o disco emalguns sistemas Windows, de forma que todo o espaęo usado seja colocado em 
ordemno disco, abra Meu Computador, clique combotao direito no leone do disco rigido (normalmente 
C:), selecione Propriedades, clique em Ferramentas e selecione Desfragmentar Agora. 

A desfragmentaęao do seu disco pode ser um processo relativamente longo. O resultado da 
desfragmentaęao e que todos os dados em seu disco sao contiguos, criando urna grandę quantidade de 
espaęo livre contiguo no firn da partięao. Ha casos em que voce tera de realizar as seguintes tarefas 
especiais para tornar isso verdade: 

■ Se o arquivo de troca do Windows nao for movido durante a desfragmentaęao, voce devera 

remove-lo. Entao, depois de desfragmentar o disco novamente e redimensiona-lo, voce precisara 
restaurar o arquivo de swap. Para remover o arquivo de troca, abra o Painel de controle, abra o 
leone de Sistema e entao clique na guia Desempenho e selecione Memória virtual. Para desativar 
o arquivo de troca, clique emDesativar a memória virtual. 

■ Se sua partięao DOS tiver arquivos ocultos que estao no espaęo que voce esta tentando liberar, 









voce precisa localiza-los. Emalguns casos, voce nao sera capaz de exclui-los. Emoutros casos, 
como os arquivos de troca criados por um programa, voce seguramente pode excluir esses 
arquivos. Isso e umpouco dificil porque alguns arquivos nao deveriamser excluidos, como os 
arquivos de sistema do DOS. \bce pode usar o comando attrib -s -h do diretório-raiz para 
lidar comarquivos ocultos. 

Depois que seu disco estiver desfragmentado, voce pode usar ferramentas comerciais descritas 
anteriormente (Partition Magie ou Acronis Disk Director) para reparticionar seu disco rigido a firn de 
liberar espaęo para o Linux. Ou use a alternativa de código-fonte aberto GParted. 

Depois de limpar espaęo em disco suficiente para instalar o Linux (ver os requisitos de espaęo em disco 
descritos anteriormente neste capitulo), voce pode instalar o Fedora, o RHEL ou outra distribuięao Linux. 
Ao configurar seu gerenciador de inicializaęao durante a instalaęao, voce sera capaz de identificar as 
partiędes de boot do Windows, do Linux e de quaisquer outras partięóes de boot e, assim, podera 
selecionar qual inicializar ao ligar o computador. 

Instalando o Linux para executarvirtualmente 

Usando a tecnologia de virtualizaęao, como o KVM, VMWare, VirtualBox ou Xen, voce pode configurar 
o computador para executar varios sistemas operacionais simultaneamente. Normalmente, voce temum 
host rodando o sistema operacional (como seu desktop Linux ou Windows) e configura sistemas 
operacionais convidados para executar nesse ambiente. 

Se tiver um sistema Windows, voce pode usar os produtos comerciais VMWare para rodar o Linux em 
seu desktop Windows. Obtenha urna versao de demonstraęao do VMWare Workstation 
(http : / /www. vmware . com/tryvmware) para ver se lhe agrada. Entao, execute seus convidados 
virtuais instalados como VMWare Player livre. Com urna versao completa do VMware Workstation, 
voce pode executar multiplas distribuięóes ao mesmo tempo. 

Produtos de virtualizaęao de código-fonte aberto que estao disponiveis com os sistemas Linux incluem 
VirtualBox (http : / /www. virtualbox . org), Xen (http : / /www. xen . org) e KVM 
(http : / / www. linux-kvm. org). O VirtualBox foi desenvolvido originalmente pela Sun 
Microsystems. O Xen tern sido popular junto aos sistemas da Red Hat, mas a Red Hat recentemente 
comeęou a se direcionar para a tecnologia KVM. 

Usando opęóes de inicializaęao da instalaęao 

Quando o kernel anaconda e carregado no momento da inicializaęao do RHEL ou do Fedora, as opęóes 
de inicializaęao fornecidas na linha de comando do kernel modificam o comportamento do processo de 
instalaęao. Interrompendo o gerenciador de inicializaęao antes de o kernel de instalaęao inicializar, voce 
pode adicionar suas próprias opęóes de inicializaęao para controlar como a instalaęao se comporta. 

Quando vir a tela de inicializaęao de instalaęao, dependendo do gerenciador de inicializaęao, pressione 
Tab ou alguma outra tecla para poder editar a linha de comando do kernel anaconda. A linha de 
identificaęao do kernel poderia ser algo como o seguinte: 



vmlinuz initrd=initrd.img 


O vmlinuz e o kernel compactado e initrd. img e o disco de RAM inicial (contendo módulos e 
outras ferramentas necessarias para iniciar o instalador). Para adicionar mais opęóes, basta digita-las no 
finał da linha e pressionar Enter. 

Assim, por exemplo, se voce tiver umarquivo de kickstart disponivel a partir de /root/ks . cf g em 
um CD, o prompt de inicializaęao do anaconda para iniciar a instalaęao usando o arquivo de kickstart 
pode se parecer como seguinte: 

vmlinuz initrd=initrd.img ks=cdrom:/root/ks.cfg 

As seęóes a seguir descrevem outras opęóes de inicializaęao do instalador que voce pode achar uteis. 

Opęoes de inicializaęao para desabilitar recursos 

As vezes, urna instalaęao do Linux falha porque o computador tem algum hardware que nao esta 
funcionando ou que nao e suportado. Muitas vezes voce pode contornar essas quest5es, passando opęóes 
para o instalador fazer coisas como desabilitar hardware selecionado quando voce precisa selecionar 
seupróprio driver. A Tabela 9.1 fornece alguns exemplos: 


Tabela 9.1 

Opęóes de Inicializaęao para Desabilitar Recursos 

:ao do instalador 

Dizaosistema 

firewire 

Nao carregar suporte para dispositivos firewire 

dma 

Nao carregar suporte DMA para discos rigidos 

ide 

Nao carregar suporte para dispositivos IDE 

mpath 

Nao habilitar o suporte para dispositivos multipath 

parport 

Nao carregar suporte para portas paralelas 

pcmcia 

Nao carregar suporte para controladores PCMCIA 

probe 

Nao investigar hardware, em vez disso, solicite os drivers ao usuario 

scsi 

Nao carregar suporte para dispositivos SCSI 

usb 

Nao carregar suporte para dispositivos USB 

ipv6 

Nao habilitar a rede IPV6 

net 

Nao investigar dispositivos de rede 

ma-off 

Desativar o acesso a memória nao uniforme (NUMA) para arąuitetura AMD64 

pi=of f 

Desativar a Interface de Energia e Configuraęao Avanęada (ACPI) 


Opęoes de inicializaęao para problemas de vfdeo 

Se estiver tendo problemas com o monitor, voce pode especificar as configuraęóes de video como 
observado na Tabela 9.2. 


















TABELA 9.2 Opęóes de Inicializaęao para Problemas de Yideo 


jaode inicializaęao 

Dizao sistema 

river=vesa 

Usar o driver de video padrao vesa 

solution=l02 4x7 68 

Escolher a resoluęao exata para usar 

fb 

Nao use o driver de framebuffer VGA16 

ipddc 

Nao investigar o DDC do monitor (a investigaęao pode travar o instalador) 

aphical 

Foręar uma instalaęao grafica 


Opęoes de inicializaęao para tipos especiais de instalaęao 

Por padrao, a instalaęao e executada emmodo grafico comvoce sentado a frente do console respondendo 
perguntas. Se tiver um console somente texto, ou se a interface grafica nao estiver funcionando 
corretamente, voce pode executar uma instalaęao no modo texto simples: ao di gitar text, voce faz com 
que a instalaęao seja executada emmodo texto. 

Se quiser comeęar a instalaęao em um computador, mas quiser responder as perguntas de instalaęao a 
partir de outro computador, voce pode habilitar uma instalaęao vnc (Yirtual NetWork Computing). 
Depois de comeęar esse tipo de instalaęao, voce pode ir para outro sistema e abrir um vnc viewer, 
dando ao visualizador o endereęo da maquina de instalaęao (como 192.168.0.99:1). A Tabela 9.3 fornece 
os comandos necessarios, junto como que dizer ao sistema para fazer. 


TABELA 9.3 Opęóes de Inicializaęao para Instalaęóes VNC 


jaode inicializaęao 

Dizao sistema 

c 

Execute a instalaęao como um servidor VNC. 

cconnect=hostname [ -.porta] 

Conecte-se ao hostname do cliente VNC e porta opcional. 

cpassword =<senha> 

O cliente usa senha (no minimo 8 caracteres) para conectar-se ao 
instalador. 


Opęoes de inicializaęao para kickstarts e repositórios remotos 

\óce pode iniciar o processo de instalaęao a partir de uma midia de instalaęao que contem pouco mais do 
que o kernel e o disco de RAM inicial. Se for esse o caso, voce precisa identificar o repositório onde os 
pacotes de software residem \foce pode fazer isso por meio de um arquivo de kickstart ou identificando a 
localizaęao dos repositórios de alguma maneira. Para foręar o instalador a solicitar o local do 
repositório (CD/DVD, disco rigido, NFS, ouURL), adicione askmethod as opęóes de inicializaęao de 
instalaęao. 

Usando opęóes repo=, voce pode identificar locais de repositório de software. Os exemplos a seguir 
mostrama sintaxe que deve ser utilizada para criar entradas repo=: 

repo=hd:/dev/sdal:/myrepo 

Repositório em /myrepo na primeira partięao do disco 1 
repo=http://abc.example.com/myrepo 







Repositório disponivel a partir de /myrepo no serv±dor web. 

repo=ftp://ftp.example.com/myrepo 

Repositório disponivel a partir de /myrepo no servidor server. 

repo=cdrom 

Repositório disponivel a partir do CD or DVD local. 

repo=nfs::mynfs.example.com:/myrepo/ 

Repositório disponivel a partir de /myrepo no compartilhamento 
NFS. 

repo=nfsiso::nfs.example.com:/mydir/rhel6.iso 

Instalaęao da imagem ISO disponivel a partir do servidor NFS. 

Emvez de identificar o repositório diretamente, voce pode especifica-lo dentro de umarquivo de 
kickstart. A seguir, sao apresentados exemplos de algumas maneiras de identificar a localizaęao de um 
arquivo de kickstart. 

ks=cdrom:/stuff/ks.cfg 

Obtenha o kickstart no CD/DVD. 

ks=hd:sda2:/test/ks.cfg 

Obtenha o kickstart no diretório de teste do disco rigido ( sda2) 
ks=http://www.example.com/ksfiles/ks.cfg 
Obtenha o kickstart em um servidor web. 
ks=ftp://ftp.example.com/allks/ks.cfg 
Obtenha o kickstart em um servidor FTP. 
ks=nfs:mynfs.example.com:/someks/ks.cfg 
Obtenha o kickstart em um servidor NFS. 

Opęóes de inicializaęao diversas 

Aqui sao apresentadas algumas outras opęóes que voce pode passar para o instalador que nao se 
encaixam em urna categoria. 

Rescue 

Em vez de instalar, executa o kernel para abrir o modo de 
recuperaęao do Linux. 
mediacheck 

Verifica se o CD/DVD de instalaęao contem erros de soma de 
verificaęao. 

Para mais informaęóes sobre como usar o instalador anaconda no modo de recuperaęao (para recuperar 
umsistema Linux corrompido), consulte o Capitulo 21, “Solucionando problemas do Linux”. 

Usando armazenamento especializado 

Em ambientes de computaęao de grandes empresas, e comum armazenar o sistema operacional e os dados 
fora do computador local. Emvez disso, alguns dispositivos de armazenamento especial, alemdo disco 



rigido, sao identificados para o instalador e podem ser utilizados durante a instalaęao. 

Urna vez identificados, os dispositivos de armazenamento que voce indicar durante a instalaęao podem 
ser usados da mesma maneira que os discos locais sao usados. \bce pode particiona-los e atribuir urna 
estrutura (sistema de arquivos, espaęo de swap etc.) ou deixa-los intactos e simplesmente monta-los onde 
quer que os dados estejamdisponiveis. 

Os seguintes tipos de dispositivos de armazenamento especializados podem ser selecionados a partir da 
tela Specialized Storage Devices quando voce instala o Red Hat Enterprise Linux, o Fedora ou outras 
distribuiędes Linux: 

■ Firmware RAID — Um dispositivo RAID de firmware e um tipo de dispositivo que tern ganchos 

na BIOS, permitindo que ele seja usado para inicializar o sistema operacional, se voce quiser. 

■ Dispositivos multipath — Como o nome indica, os dispositivos multipath fornecem varios 

caminhos entre o computador e os dispositivos de armazenamento. Esses caminhos sao agregados, 
assim esses dispositivos parecem ser um só para o sistema usar, enquanto a tecnologia subjacente 
oferece melhor desempenho, redundancia, ou ambos. As conexdes podem ser fornecidas por 
dispositivos iSCSI ou Fibrę Channel over Ethernet (FCoE). 

■ Outros dispositivos SAN — Qualquer dispositivo que representa urna Storage Area NetWork 

(SAN). 

Embora a configuraęao desses dispositivos de armazenamento especializados esteja alemdo escopo 
deste livro, saiba que se voce estiver trabalhando emuma empresa onde dispositivos iSCSI e FCoE estao 
disponiveis, voce pode configurar o sistema Linux para usa-los no momento da instalaęao. Os tipos de 
informaęao que voce precisa para fazer isso incluem: 

■ Dispositivos iSCSI — Peęa para seu administrador de armazenamento lhe fornecer o endereęo IP 

de destino do dispositivo iSCSI e do tipo de autenticaęao de descoberta necessario para usar o 
dispositivo. O dispositivo iSCSI pode exigir credenciais. 

■ Fibrę Channel over Ethernet Devices (FcoE) — Para FCoE, voce precisa conhecer a interface 

de rede que esta conectada ao switch FCoE. Vbce pode procurar essa interface para os 
dispositivos FCoE disponiyeis. 


Particionando discos rigidos 

O(s) disco(s) rigido (s) em seu computador oferece(m) a area de armazenamento permanente para seus 
arquivos de dados, programas aplicatiyos e o sistema operacional em si. O particionamento e o ato de 
dividir um disco emareas lógicas que podem ser trabalhadas separadamente. No Windows, voce 
normalmente tern urna partięao que consome todo o disco rigido. Mas, com o Linux, ha yarias razóes 
pelas quais voce pode querer ter multiplas partięóes: 

■ Varios sistemas operacionais — Se instalar o Linux em um PC que ja tern um sistema 

operacional Windows, voce pode querer manter os dois sistemas operacionais no computador. 
Para todos os efeitos praticos, cada sistema operacional deve existir em urna partięao 
completamente separada. Quando seu computador reinicializa, voce pode escolher qual 



sistema executar. 


■ Varias partięóes dentro de um sistema operacional — Para evitar que o sistema operacional 

inteiro fique sem espaęo em disco, as pessoas costumam atribuir partięóes separadas para 
diferentes areas do sistema de arquivos Linux. Por exemplo, se forem atribuidas partięóes 
separadas a /home e /var, umusuario glutao que enche a partięao /home nao impediria 
que daemons de registro em log continuassem a gravar arquivos de log no diretório 
/ var/log. 

O fato de ter varias partięóes tambem facilita certos tipos de backups (como um backup de 
imagem). Por exemplo, um backup de imagem / home seria muito mais rapido (e, 
provavelmente, mais util) do que um backup de imagem do sistema de arquivos raiz (/). 

■ Tipos de sistemas de arquivos diferentes — Diferentes tipos de sistemas de arquivos tern 

estruturas diferentes. Sistemas de arquivos de tipos diferentes devemestar emsuas próprias 
partięóes. Alemdisso, voce pode precisar de sistemas de arquivos diferentes para ter opędes 
de montagens diferentes para recursos especiais (tais como marcar como somente leitura ou 
definir quotas de usuario). Na maioria dos sistemas Linux, voce precisa de pelo menos umtipo 
de sistema de arquivos para a raiz do sistema de arquivos (/) e umpara a area de swap. 
Sistemas de arquivos em CDROM usam o tipo de sistema de arquivos iso9660. 




riar partięoes para o Linux, normalmente voce vai atribuir o tipo de sistema de arquivos como o Linux nativo 
ndo o tipo ext2, ext3 ou ext4 na maioria dos sistemas Linux). Se os aplicativos que estao em execuęao exigirem 
es particularmente longos, tamanhos de arquivos grandes, ou muitos inodes (cada arquivo consome um inode), 
pode quererescolherum tipo de sistema de arquivo diferente. 

exemplo, se voce configurar um servidor de noticias, ele pode usar muitos inodes para armazenar pequenos 
os de news. Outra razao para usar um tipo de sistema de arquivos diferente e copiar urna fita de backup de 
'em de outro sistema operacional para seu disco local (como um sistema de arquivos herdado de um sistema 
acional OS/2 ou Minix). 


ndo do Windows 

s voce usou somente sistemas operacionais Windows antes, provavelmente teve seu disco 
lido inteiro atribuido a C: e nunca pensou sobre partięoes. Com muitos sistemas Linux, voce 
ri a oportunidade de visualizar e alterar o particionamento padrao com base em como deseja 
ar o sistema. 






Durante a instalaęao, sistemas como Fedora e RHEL deixam voce particionar seu disco rigido usando 
ferramentas graficas de particionamento. As próximas seęóes descrevem como particionar seu disco 
durante urna instalaęao do Fedora. Consulte a seęao “Dicas para criar partięóes” para ter algumas ideias 
sobre como criar partięóes de disco. 

Entendendo os diferentes tipos de partięoes 

Muitas distribuięóes Linux dao a opęao de selecionar diferentes tipos de partięóes ao particionar o disco 
rigido durante a instalaęao. Tipos de partięao incluem: 

■ Partięóes Linux — Use esta opęao para criar urna partięao para tipos de sistema de arquivos 

ext2, ext3, ext4 que e adicionada diretamente a urna partięao no disco rigido (ou outra midia de 
armazenamento). 

■ Partięóes LVM — Crie urna partięao LVM se pianej a criar ou adicionar a um grupo de yolumes 

LVM. LVMs proporcionam mais flexibilidade para, mais tarde, aumentar, diminuir e mover 
partięóes do que as partięóes normais. 

■ Partięóes RAID — Crie duas ou mais partięóes RAID para criar um array R AID . Essas 

partięóes devem estar em discos separados para criar urna efetiva array RA ID . Arrays RAID 
podemajudar a melhorar o desempenho, confiabilidade, ou ambos urna vez que essas 
caracteristicas se relacionam com ler, gravar e armazenar seus dados. 

■ Partięóes de swap — Crie urna partięao de swap para estender a quantidade de memória virtual 

disponivel em seu sistema. 

As próximas seęóes descrevem como adicionar partiędes comuns Linux, LVM, RAID e partięóes de swap 
usando o instalador grafico do Fedora. Se voce ainda nao tern certeza de quando deve usar esses 
diferentes tipos de partięao, consulte o Capitulo 12 para obter mais informaędes sobre a configuraęao de 
partiędes de disco. 

Particionando durante a instalaęao do Fedora 

Durante a instalaęao, o Fedora lhe da a oportunidade de mudar a forma como o disco rigido e 
particionado. Se optar por fazer um layout personalizado (ou revisar e modificar o particionamento 
atual), voce tern a oportunidade de personalizar seu particionamento de disco. A partir dos discos rigidos 
que aparecem na tela do instalador, selecione Free (para criar urna nova partięao usando o espaęo 
disponiyel no disco) ou exclua urna ou mais partięóes, e entao selecione Free para reutilizar esse espaęo. 

As próximas seęóes descrevem como criar diferentes tipos de partięao. 

Partięoes Linux ou partięoes de swap 

Criar urna partięao Linux padrao permite que voce crie a partięao e aplique o sistema de arquivos 
diretamente a ela. Selecione Create => Standard Partition e clique no botao Create. A Figura 9.5 mostra 
umexemplo da tela que aparece. Escolha o ponto de montagempara a partięao (como / ou /boot), o 
tipo de sistema de arquivos (ext4 e o padrao) e o tamanho (emMB). A partięao pode ter umtamanho fixo 
ou simplesmente ocupar todo o espaęo disponiyel. 



RA9.5 


ima partięao Linux normal no Fedora. 


Para criar urna partięao de swap, voce pode seguir os passos utilizados para criar urna partięao Linux. 
Mas emvez de selecionar umtipo de sistema de arquivos (ext3, ext4 etc.), voce escolhe swap como tipo 
de sistema de arquivos. Nenhumponto de montageme necessario. 

Partięoes LVM 

O Logical \blume Manager (LVM) permite que voce adicione urna camada de abstraęao e agrupe o 
espaęo em disco que pode ser atribuido a umoumais volumes lógicos. Depois de criar os yolumes 
lógicos, voce pode adicionar sistemas de arquivos a esses yolumes e monta-los como faria com partięóes 
Linux normais. Mas se ficar sem espaęo, voce temmuito mais flexibilidade quando se trata de gerenciar 
essas partięóes. 

As etapas descritas aqui detalhamcomo criar urna partięao LVM (referidas como umvolume LVM 
fisico), aplicar urna ou mais partiędes LVM a um grupo de yolumes LVM e entao criar yolumes lógicos a 
partir desse grupo de yolumes: 

x - Selecione Create => LVM Physical Volume e cliąue no botao Create. Unia janela Add 
Partition aparece. 

2 - Deixe o tipo de sistema de arquivos como “physical volume (LVM)” e escolha a 
ąuantidade de espaęo para dedicar a ele. Algumas pessoas vao aplicar todo o espaęo 
restante em seu disco para a partięao LVM depois de criar as partięoes nao LVM que 
desejam (como urna partięao /boot separada e, possivelmente, urna partięao de 
swap). Clique em OK para continuar. 

3 - Com um ou mais yolumes fisicos LVM criados, clique em Create, selecione LVM 
Volume Group e clique em Create de novo. A janela Make LVM Volume Group 
aparece. 

4 - Selecione umnome de grupo de yolumes (VolGroup e usado por padrao) e um 
tamanho de extensao fisica (essa e a menor unidade de espaęo que pode ser adicionada 
ou removida de um volume lógico) e escolha qual partięao adicionar ao grupo (use o 
volume fisico LVM que voce criou na etapa anterior). 

5 - Selecione Add e a janela Make Logical Volume aparece. E aqui que voce cria os 
yolumes lógicos reais em que cada sistema de arquivos residira. A Figura 9.6 mostra as 
telas para a criaęao do grupo de yolumes e umvolume lógico. Na maioria dos casos, 
voce nao vai usar todo o espaęo disponivel, assim e possivel aumentar suas partięoes 
mais tarde, se necessario. Nesse exemplo, o nome do volume lógico e myhome, o grupo 
e VolGroup e o dispositivo resultante representa o volume lógico 
/dev/mapper/VolGroup-myhome. Se o tipo de sistema de arquivos e o tamanho 




estiveremcorretos, selecione OK para criar o volume lógico. 
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im grupo de yolumes LVM e um volume lógico a partir de um volume fisico LVM. 


6 - Se ainda houver espaęo disponivel a partir do grupo de yolumes, voce pode criar mais 
volumes lógicos a partir desse grupo, repetindo os mesmos passos. Cliąue em OK para 
retornar a tela de particionamento. 

Partięoes RAID 

Um array RAID permite que voce use varios discos, de modo que possa ter varias cópias de seus dados 
ou grave-os emyarios discos (para melhorar o desempenho) ou ambos. Siga estes passos a firn de criar 
as partiędes de RAID que voce precisa para criar um array RA ID : 

1 - Selecione Create =* RAID Partitione cliąue emCreate. Ajanela AddPartition 
aparece. 

2 - Supondo que voce tenha yarios discos disponiveis, o que e necessario para criar um 
array RAID adeąuado, escolha o primeiro disco, indiąue o tamanho da partięao RAID e 
selecione OK 

3 - Repita os passos 1 e 2 para cada disco a firn de criar cada partięao necessaria no array. 
(O tamanho do array sera baseado na menor das partięoes criadas; portanto, emgeral, 
voce quer que elas sejam do mesmo tamanho.) 

4 - Selecione Create de novo, mas desta vez selecione RAID Device e cliąue emCreate. A 
janela Make RaidDevice aparece, parecida coma mostrada na Figura 9.7. 
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im dispositiyo RAID. 


5 - Selecione o ponto de montagem, o tipo de sistema de arquivos e um dispositivo RAID 
(normalniente mdO para o primeiro dispositivo RAID). Alem disso, selecione o nivel de 
RAID (RAIDO divide os dados em varios discos para melhorar o desempenho; RAID1 
faz comąue os dados sejamespelhados nos membros do RAID; RAID5 e popular 
porąue oferece redundancia a um baixo custo). Entao, verifique as partięoes para usar 
como membros do RAID e selecione OK. O novo array RAID aparece sob o titulo 
RAID Devices. 

Quando voce terminar de particionar seu disco, selecione Next para salvar seu particionamento e 
continuar a instalaęao. 

Razoes para esquemas de particionamento diferentes 

Existem diferentes opinióes a respeito de como dividir um disco rigido. Eis algumas quest5es a serem 
consideradas: 

■ Quer instalar outro sistema operacional? Se quiser o Windows em seu computador, juntamente 

como Linux, voce precisa de pelo menos urna partięao Windows (tipo Win95, FAT16, VFAT 
ou NTFS), urna partięao Linux (Linux ext4) e, normalmente, urna partięao de swap. 

■ E um sistema multiusuario? Se voce próprio estiver utilizando o sistema, provavelmente nao 

precisa de muitas partięóes. Urna razao para particionar um sistema operacional e proteger o 
sistema inteiro contra falta de espaęo em disco. Isso serve tambem para impor limites sobre o 
que urna pessoa pode usar em seu diretório inicial (embora as cotas de disco forneęam urna 
maneira mais refinada de limitar o uso de disco). 

■ \bce temvarios discos rigidos? \bce precisa de pelo menos urna partięao por disco rigido. Se 

seu sistema tiver dois discos rigidos, voce pode atribuir umpara / e outro para /home (se 
voce tern muitos usuarios), ou / var (se o computador e ummonte de servidores de 
compartilhamento de dados). Comurna partięao /home separada, voce pode instalar outro 
sistema Linux no futuro, sem mexer com os diretórios iniciais (e, presumivelmente, todos ou a 
maioria de seus dados de usuario). 

As dicas para criar partięoes 

Alterar suas partięóes de disco para lidar comvarios sistemas operacionais pode ser muito complicado, 
em parte porque cada sistema operacional tern suas próprias ideias sobre como as informaęóes de 
particionamento devem ser tratadas, bem como diferentes ferramentas para fazer isso. Eis algumas dicas 
para aj udar voce fazer da forma correta: 




■ Se voce estiver criando um sistema dual-boot, especialmente para um sistema Windows, tente 

instalar o sistema operacional Windows primeiro depois de particionar seu disco. Caso 
contrario, a instalaęao do Windows pode tornar inacessiveis as partiędes do Linux. Escolher 
um sistema de arquivos VFAT em vez de NTFS para o Windows tambemtornara o 
compartilhamento de arquivos entre os sistemas Windows e Linux mais facil e confiavel. (O 
suporte a partiędes NTFS no Finux melhorou muito nos ultimos anos, mas nem todos os 
sistemas Finux incluem esse suporte). 

■ A pagina man do f di s k recomenda que voce use ferramentas de particionamento que vem com 

um sistema operacional a firn de criar partiędes para ele. Por exemplo, o fdisk do DOS sabe 
como criar partiędes das quais o DOS vai gostar, e o fdisk do Finux criara alegremente suas 
partiędes Finux. Depois de seu disco rigido estar configurado para dual boot, porem, voce 
provavelmente nao deve voltar a usar ferramentas de particionamento que funcionam somente 
para Windows. Use o fdisk Finux ou um produto feito para sistemas multi-boot (como o 
Partition Magie). 

■ \bce pode ter ate 63 partiędes emum disco rigido IDE. Um disco rigido SCSI pode ter ate 15 

partiędes. Em geral, voce nao precisa de tantas partiędes, mas, se precisar, use o LVM e crie 
quantos volumes lógicos quiser. 

Se estiver usando Linux como um sistema desktop, voce provavelmente nao precisa de muitas partiędes 
diferentes. Mas ha algumas boas razoes para ter varias partiędes para sistemas Linux que sao 
compartilhadas por um grandę numero de usuarios ou que sao servidores web publicos ou de arquivos. 
Ter varias partiędes no Fedora ou no RHEL, por exemplo, oferece as seguintes vantagens: 

■ Proteęao contra ataques — Ataques de negaęao de servięo as vezes tomam aęoes que tentam 

encher seu disco rigido. Se as areas publicas, como /var, estiverem em partiędes separadas, 
um ataque bem-sucedido pode encher urna partięao sem desligar o computador inteiro. Como 
/var e o local padrao para servidores web e servidores FTP e supoe-se que ele armazene 
urna grandę quantidade de dados, discos rlgidos inteiros costumam ser atribuidos ao sistema de 
arquivos /var sozinho. 

■ Proteęao contra sistemas de arquivos corrompidos — Se voce tiver apenas um sistema de 

arquivos (/), a corrupęao pode fazer com que todo o sistema Finux seja danificado. A 
corrupęao de urna partięao menor pode ser mais facil de corrigir e muitas vezes permite que o 
computador permaneęa em servięo enquanto a correęao e feita. 

A Tabela 9.4 lista alguns diretórios que voce pode querer considerar criar em partiędes do sistema de 
arquivos separadas. 

TABELA 9.4 Atribuindo Partiędes a Diretórios Particulares 

itório Explicaęao 

As vezes, a BIOS de PCs mais antigos pode acessar apenas os 
primeiros 1.024 cilindros de seu disco rigido. Para certificar-se de 
que as informaęoes em seu diretório /boot sao acessiveis a 


oot 





BIOS, crie uma partięao de disco separada (de cerca de 500 MB) 
para /boot. Mesmo com varios kernels instalados, raramente ha 
uma razao para /boot ser maior do que 500MB. 

sr 

Essa estrutura de diretórios contem a maioria dos aplicativos e 
utilitarios disponlveis para usuarios de Linux. A teoria original era 
que, se /usr estivesse em uma partięao separada, voce poderia 
montar o sistema de arquivos como somente leitura após o sistema 
operacional ser instalado. Isso impediria os invasores de substituir 
ou remover aplicativos importantes do sistema por suas próprias 
versoes que poderiam causar problemas de seguranęa. Uma 
partięao 

/usr separada tambem e util se voce tiver estaęoes de trabalho 
sem disco rlgido em sua rede local. Usando NFS, voce pode 
compartilhar /usr pela rede com as estaęoes de trabalho. 

ar 

Seu servidor de FTP (/var/ftp) e seu servidor web 
(/var/www) estao, por padrao em muitos sistemas Finux, 
armazenados em /var. Ter uma partięao /var separada pode 
impedir que um ataque a esses recursos corrompa ou encha seu 
disco rigido inteiro. 

ome 

Como seus diretórios de conta de usuario estao localizados nesse 
diretório, ter uma conta /home separada pode impedir um usuario 
irresponsavel de encher o disco rlgido inteiro. Isso tambem separa 
convenientemente os dados do usuario, de um lado, dos dados do 
seu sistema operacional, de outro (para backups faceis ou novas 
instalaęoes). Muitas vezes, /home e criado como um volume 

FVM lógico, para permitir que ele seja ampliado com o aumento 
das demandas do usuario. 

mp 

Proteger /tmp do resto do disco rlgido, colocando-o em uma 
partięao separada, pode assegurar que os aphcativos que precisam 
gravar em arquivos temporarios em / tmp sejam capazes de 
completar sua transformaęao, mesmo que o resto do disco fique 
cheio. 


Embora as pessoas que usamsistemas Linux raramente vejama necessidade de varias partięóes, aąueles 
que mantem e, ocasionalmente, tern de recuperar grandes sistemas, sao gratos quando o sistema que eles 
precisam corrigir temvarias partięóes. O fato de ter varias partięóes pode limitar os efeitos de danos 
deliberados (como os de ataques de negaęao de servięo), problemas de usuarios errantes e corrupęao 
acidental de arquivos. 

Usando o gerenciador de inicializaęao GRUB 

Um gerenciador de inicializaęao permite escolher quando e como iniciar os sistemas operacionais 
instalados nos discos rigidos de seu computador. O GRand Unified Boodoader (GRUB) e o gerenciador 
de inicializaęao mais popular usado para sistemas Linux instalados. Ha duas vers5es principais do 
GRUB disponiveis hoje: 


■ GRUB Legacy (versao 1) — Ate o momento, essa versao do GRUB e usada por padrao para 



inicializar sistemas operacionais Red Hat Enterprise Linux (pelo menos ate o RHEL 6.3). Ela 
tambemera usada comvers5es anteriores do Fedora e Ubuntu. 

■ GRUB 2 — As vers5es atuais do Ubuntu e Fedora usam o GRUB 2 como o gerenciador de 
inicializaęao padrao. 

A versao do GRUB Legacy e descrita nas próximas seęóes. Depois disso, ha urna descrięao do GRUB 2. 


ta 

JNUX e outro gerenciador de inicializaęao que voce vai encontrar com sistemas Linux. Os gerenciadores de 
tlizaęao SYSLINUX nao sao normalmente utilizados para sistemas Linux instalados, mas sao comumente usados 
a o gerenciador de inicializaęao para CDs e DVDs do Linux. 0 SYSLINUX e particularmente bom para iniciar 
[ens de CD IS09660 (isolinux) e pen drives (syslinux), para funcionarem hardware mais antigo ou para inicializar 
istema PXE (pxelinux) atraves da rede. 


Usando o GRUB Legacy (versao 1) 

Comvarios sistemas operacionais instalados e varias partięóes configuradas, como e que o computador 
sabe qual o sistema operacional iniciar? Para selecionar e gerenciar qual partięao e inicializada e como 
e inicializada, voce precisa de urna rotina de inicializaęao. O gerenciador de inicializaęao que e 
instalado por padrao com o Red Hat Enterprise Linux e o Grand Unified Boot loader (GRUB). 

O GRUB Legacy e um gerenciador de inicializaęao GNU 

(http : //www. gnu . org/sof tware/grub), que oferece os seguintes recursos: 

■ Suporte para multiplos formatos executaveis. 

■ Suporte a sistemas operacionais multi-boot (como o Fedora, RHEL, FreeBSD, NetBSD, 

OpenBSD e outros sistemas Linux). 

■ Suporte a sistemas operacionais nao multi-boot (como Windows 95, Windows 98, Windows 

NT, Windows ME, Windows XP, Windows Yista, Windows 7 e OS/2) por meio de urna funęao 
de carregamento em cadeia. O carregamento em cadeia e o ato de carregar outra rotina de 
inicializaęao (presumivelmente a que e especifica para o sistema operacional proprietario) a 
partir do GRUB para iniciar o sistema operacional selecionado. 

■ Suporte a varios tipos de arquivos. 

■ Suporte para a descompactaęao automatica de imagens de inicializaęao. 

■ Suporte para fazer download de imagens de inicializaęao a partir de urna rede. 

A epoca em que escreviamos isso, o GRUB versao 1 era o gerenciador de inicializaęao usado no Red 
Hat Enterprise Linux. O GRUB versao 2 e usado no Fedora, no Ubuntu e emoutras distribuięóes Linux. 
Esta seęao descreve como usar o GRUB versao 1. 

Para mais informaęóes sobre como o GRUB funciona, na linha de comando digite man grub ou info grub. 
O comando info grub contemmais detalhes sobre o GRUB. 






Inicializando com o GRUB Legacy 

Ao instalar o Linux, voce normalmente tem a opęao de configurar as informaęóes necessarias para iniciar 
o computador (comumoumais sistemas operacionais) no gerenciador de inicializaęao padrao. O GRUB 
e muito flexivel para configurar, por isso, ele parece diferente em diferentes distribuięóes do Linux. 

Com o gerenciador de inicializaęao GRUB que vem com o Red Hat Enterprise Linux instalado no 
registro de inicializaęao mestre de seu disco rigido, quando o BIOS inicia o gerenciador de inicializaęao 
urna dessas varias coisas pode acontecer: 

■ Padrao — Se voce nao fizer nada, o sistema operacional padrao inicializara automaticamente 

depois de cinco segundos. (O tempo limite e definido pelo valor timeout, emsegundos, no 
arquivo grub . conf ou menu . lst.) 

■ Selecione um sistema operacional — Pressione qualquer tecla antes de os cinco segundos 

expirarem e voce vera urna lista de titulos para escolher. Os titulos podem representar um ou 
mais nucleos para o mesmo sistema Linux. Ou eles podem representar o Windows, o Ubuntu ou 
outros sistemas operacionais. Use as teclas de seta para cima e para baixo para destacar 
qualquer titulo e, entao, pressione Enter para iniciar esse sistema operacional. 

■ Edite o processo de inicializaęao — Se voce quiser alterar qualquer urna das opęóes utilizadas 

durante o processo de inicializaęao, use as teclas de seta para destacar o sistema operacional 
que voce deseja e digite e para seleciona-lo. Siga o próximo procedimento para alterar suas 
opęóes de inicializaęao temporariamente. 

Se quiser alterar as opęóes de inicializaęao para que elas tenham efeito cada vez que voce iniciar o 
computador, consulte a seęao sobre como alterar permanentemente as opęóes de inicializaęao. Alterar 
essas opęóes envolve editar o arquivo /boot/ grub /grub . conf. 

Alterando as opęóes de inicializaęao temporariamente 

A partir da tela de boot GRUB Legacy, voce pode escolher entre modificar ou adicionar opęóes de 
inicializaęao a sessao de inicializaęao atual. Emalguns sistemas Linux, o menu esta escondido, assim 
voce tem que pressionar a tecla Tab ou alguma outra tecla (antes de alguns segundos de o tempo limite 
ser excedido) para ver o menu. Entao, selecione o sistema operacional que voce deseja (usando as teclas 
de seta) e digite e (como descrito anteriormente). 

Tres linhas na tela de exemplo de edięao do GRUB Legacy identificam o processo de inicializaęao do 
sistema operacional que voce escolheu. Eis um exemplo dessas linhas (devido ao comprimento da linha 
do kernel, essa linha foi aqui dividida emtres): 

root (hd0,0) 

kernel /vmlinuz-2.6.32-131.17.1.el6.x86_64 ro root=/dev/mapper/vg_ 
myhost-lv_root 

rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sunl6 
KEYBOARDTYPE=pc 

KEYTABLE=us rhgb guiet crashkernel=auto 



initrd /initramfs-2.6.32-131.17.1.el6.x8664.img 


Aprimeira linha (comeęando com root) mostra que a entrada para o gerenciador de inicializaęao 
GRUB esta na primeira partięao do primeiro disco rigido (hdO, 0). O GRUB representa o disco rigido 
como hd, independentemente de se tratar de um disco SCSI, um disco IDE ou outro tipo de disco. No 
GRUB Legacy, voce simplesmente conta o numero da unidade e o numero da partięao a partir de zero (0). 

Asegunda linha do exemplo (comeęando com kernel) identifica a imagemde inicializaęao do kernel 
(/boot/vmlinuz-2.6.32-131.17.1. el6 . x86_64) e varias opęóes. As opęóes identificama 
partięao como inicialmente sendo carregada ro (somente leitura) e a localizaęao do sistema de arquivos 
raiz emuma partięao como rótulo que comeęa root=/dev/mapper/vg_myhost-lv_root. A 
terceira linha (comeęando com initrd) identifica a localizaęao do disco de RAM inicial, que contem 
módulos adicionais e ferramentas necessarias durante o processo de inicializaęao. 

Se voce for alterar qualquer urna das linhas relacionadas com o processo de inicializaęao, provavelmente 
modificara apenas a segunda linha para adicionar ou remover opęóes de inicializaęao. Siga estes passos 
para fazer exatamente isso: 

1 - Depois de interromper o processo de inicializaęao do GRUB e digitar e para selecionar 
a entrada de inicializaęao que voce quer, posicione o cursor na linha kernel e digite e. 

2 - Adicione ou remova as opęoes depois do nome da imagem de inicializaęao. Voce pode 
utilizar umconjunto minimo de recursos de edięao de linha de comando do sheh bash 
para editar a linha. Voce pode ate mesmo utilizar a conclusao de comando (digite parte 
de umnome de arquivo e pressione Tab para completa-lo). Eis algumas opęoes que voce 
pode querer adicionar ou excluir: 

■ Inicialize para um shell. Se tiver esquecido sua senha de root ou se seu processo de 

inicializaęao travar, voce pode iniciar diretamente para um shell adicionando 
init=/bin/sh a linha de boot. 

■ Selecione umnivel de execuęao. Se desejar inicializar umnivel de execuęao especial, 

voce pode adicionar o nivel de execuęao que deseja ao finał da linha do kernel. Por 
exemplo, para fazer a inicializaęao do RHEL executar o nivel 3 (multiusuario mais o 
modo de rede), adicione 3 ao finał da linha do kernel. \bce tambempode inicializar no 
modo monousuario (1), no modo multiusuario (2) ou no modo grafico do X (5). O nivel 3 
e urna boa escolha se sua GUI estiver temporariamente rompida. O nivel 1 e bom se voce 
esqueceu sua senha de root. 

■ Observe as mensagens de inicializaęao. Por padrao, voce vera urna tela enquanto o Linux 

inicializa. Se quiser ver as mensagens que mostram atividades que acontecem a medida 
que o sistema e inicializado, voce pode remover a opęao rhgb ąuiet da linha do 
kernel. Isso permite que voce veja mensagens a medida que elas rolamna tela. Pressionar 
Esc durante a inicializaęao tern o mesmo resultado. 

3 - Pressione Enter para retornar a tela de edięao. 

4 - Digite b para inicializar o computador com as novas opęoes. Na próxima vez que voce 
inicializar seu computador, as novas opęoes nao serao salvas. Para adicionar opęoes de 



modo que elas sejamsalvas permanentemente, consulte a próxima seęao. 


Alterando as opęoes de inicializaęao permanentemente 

\bce pode mudar as opęóes que tem efeito a cada vez que voce inicializa o computador alterando o 
arquivo de configuraęao do GRUB. No RHEL e outros sistemas Linux, a configuraęao do GRUB 
concentra-se no arquivo /boot/grub/grub . conf ou /boot/grub/menu . lst. 

O arquivo /boot/grub/grub . conf e criado quando voce instala o Linux. Eis umexemplo desse 
arquivo para o RHEL: 

t grub.conf ger.erated by ar.aror.da 

U 

Notę that you do not have to rerun grub after rr.aX.ing char.gea to thia 
file 

# NC7ICE: You ha\*e a /boot partition. Thia sneana that 

# all kernel and initrd patha are relative to /boot/ f eg. 

t root (hd0,0) 

# kernel /vmlrnuB~veraion ro r o ot=/dev/aappe r/vg_]o Xe•1v_r o o t 

# initrd /initrd - [generic - ]veraion.img 
#boot=/dev/ada 

default=0 
timeout=5 

splashimage= hdC,0: Zgrub/ splash.xpc.gz 

hiddenmenu 

title Red Hat Er.terpriae Linux (2.f.32“131.17.1.elf.x5f_64) 
root thd0,0) 

kernel /vmlinue”2.6.32“131.17.1.elf.x0f_fi4 ro 

root=/dev/mapper /vg_m.yhoat - lv_root rd_NO_MD rd_NO_EM 
LANG=en_U3.UTF-8 SY3FCNT=latarcyrheb-aunl6 KEYBOARDTYPE=pc 
K£YTABLE = us rhgb quiet craahkerr.el—auto 
initrd /initramf a ”2 . € . 32~131.17.1. elf. x5 f__f 4 . iag 
title Windowa XP 

rootnovenfy 'hdO.1) 
chainloader +1 


Alinha def ault=0 indica que a primeira partięao na lista (nesse caso, Red Hat Enterprise Linux) sera 
a unica que e inicializada por padrao. Alinha timeout=5 faz comque o GRUB faęa uma pausa por 
cinco segundos antes de iniciar a partięao padrao. (Esse e o tempo que voce tem para pressionar e se 
quiser editar a linha de boot ou para pressionar as teclas de seta a firn de selecionar um sistema 
operacional diferente para inicializar.) 

Alinha splashimage procura na primeira partięao do primeiro disco (hdO, 0) a partięao de boot 
(nesse caso /dev/sdal). O GRUB carrega splash . xpm. gz, como a imagemna tela inicial 
(/boot/grub/splash . xpm. gz). Atela inicial aparece como o fundo da tela de inicializaęao. 


ta 

dJB indica as partięoes de disco a usando a seguinte notaęao: (hdO, 0). 0 primeiro numero representa o disco e 
=[undo e a partięao nesse disco. Portanto, (hdO, 1) e a segunda partięao (1) no primeiro disco (0). 


As duas partięóes de inicializaęao nesse exemplo sao Red Hat Enterprise Linux e Windows XP. As linhas 
de titulo para cada uma dessas partięóes sao seguidas pelo nome que aparece na tela de inicializaęao 
para representar cada partięao. 

Para o sistema RHEL, a linha root indica o local da partięao de inicializaęao como a segunda partięao 
no primeiro disco. Assim, para encontrar o kernel inicializavel (vmlinuz-*) e a imagemde 






inicializaęao do disco RAM inicial initrd que e carregada (initrd-*), o GRUB monta hdO, 0 
como a raiz de todo o sistema de arquivos (que e representado por /dev/mapper/vg_myhost- 
lv_root e e montada como /). Ha outras opęóes na linha kernel. 

Para a partięao do Windows XP, a linha rootnoverif y indica que o GRUB nao deve tentar montar a 
partięao. Nesse caso, Windows XP e a primeira partięao do primeiro disco rigido (hdO, 1) ou 
/dev/sda2. Emvez de montar a partięao e passar opęóes para o novo sistema operacional, a linha 
chainloader +1 diz para GRUB passar a inicializaęao do sistema operacional para outro 
gerenciador de inicializaęao. 0+1 indica que o primeiro setor da partięao e usado como gerenciador de 
inicializaęao. (\bce poderia semelhantemente configurar para inicializar um sistema operacional 
Windows Yista ou Windows 7.) 


ta 

imas operacionais da Microsoft exigem que voce use o chainloader para inicializa-los a partir do GRUB, 
ue o GRUB nao oferece suporte nativo para sistemas operacionais Windows. 


Se fizer quaisquer alteraęóes no arquivo /boot/grub/grub . conf, voce nao precisa carregar essas 
alteraęóes. O GRUB automaticamente as captura quando voce reiniciar seu computador. 

Adicionando uma nova imagem de inicializaęao do GRUB 

\bce pode ter imagens diferentes de inicializaęao para os kernels que incluem recursos diferentes. Na 
maioria dos casos, a instalaęao de umnovo pacote de kernel configura automaticamente grub . conf 
para usa-lo. Mas se voce quiser adicionar um kernel manualmente, eis o procedimento para modificar o 
arquivo grub . conf no Red Hat Enterprise Linux para inicializar o kernel: 

1 - Copie a nova imagem a partir do diretório em que ela foi criada (como 
/usr/src/kernels/linux-2.6.25-ll/arch/i386/boot) para o diretório 
/boot. Nomeie o arquivo que reflete seu conteudo, como bz-2.6.25-11. Por 
exemplo: 

# cd /usr/src/Linux-2.6.25.ll/arch/i386/boot 

# cp bzlmage /boot/bz-2.6.25-11 

2 - Adicione varias linhas ao arquivo /boot/grub/grub. conf para que a imagem 
possa ser iniciada no momento da inicializaęao, se ele for selecionada. Por exemplo: 

title Red Hat Enterprise Linux 6.3 (My own IPV6 build) 
root (hdO,4) 

kernel /bz-2.6.25-11 ro root=/dev/sda5 
initrd /initrd-2.6.25-11.img 

3 - Reinicie seu computador. 

4 - Quando a tela de inicializaęao do GRUB aparecer, mova seu cursor para o titulo que 
representa o novo kernel e pressione Enter. 






A vantagem para essa abordagem, no lugar de copiar a nova imagemde inicializaęao sobre a antiga, e 
que se o kernel nao conseguir inicializar, voce sempre podera voltar e reiniciar o kernel antigo. Quando 
voce se sentir confiante de que o novo kernel esta funcionando corretamente, pode usa-lo para substituir o 
kernel antigo ou talvez apenas tornar o novo kernel a definięao de inicializaęao padrao. 

Usando o GRUB 2 

O GRUB 2 representa urna grandę reformulaęao do projeto GRUB Legacy. Ele foi adotado como o 
gerenciador de inicializaęao padrao para o Fedora e o Ubuntu. Embora a principal funęao do GRUB 2 
ainda seja encontrar e iniciar o sistema operacional que voce deseja, agora ha muito mais poder e 
flexibilidade incorporado as ferramentas e arquivos de configuraęao que o levam la. 

No GRUB 2, o arquivo de configuraęao agora se chama /boot/grub2/grub . cfg (no Fedora e 
outros sistemas Linux usando o GRUB 2). Tudo a partir do conteudo de grub . cfg, ate a maneira como 
grub .cfge criado, e diferente do arquivo grub . conf do GRUB Legacy. Eis algumas coisas que 
voce deve saber sobre o arquivo grub .cfg: 

■ Em vez de editar grub .cfg manualmente ou adicionar pacotes RPM de kernel a ele, 

grub .cfge gerado automaticamente a partir do conteudo do arquivo 

/etc/def ault/grub e do diretório /etc/grub . d. \bce deve modificar ou adicionar 

esses arquivos para configurar o GRUB 2 por conta própria. 

■ O arquivo grub .cfg pode conter sintaxe de script, incluindo coisas como funęóes, loops e 

variaveis. 

■ Os nomes de dispositivos necessarios para identificar a localizaęao de nucleos de memória 

RAM e discos iniciais podem ser mais confiavelmente identificados usando rótulos ou 
Identificadores Universalmente Unicos (UUIDs). Isso evita a possibilidade de um dispositivo 
de disco como o /dev/sda ser alterado para 

/dev/sdb quando voce adiciona umnovo disco (o que faria comque o kernel nao fosse 
encontrado). 

Os comentarios no arquivo grub . cfg indicamde onde o conteudo veio. Por exemplo, a informaęao 
gerada a partir do arquivo /etc/grub . d/00_header vemlogo após esta linha de comentario: 

### BEGIN /etc/grub.d/00_header ### 

No inicio da seęao OO header, ha algumas funęóes, como aquelas que carregamdrivers para fazer seu 
monitor de video funcionar. Depois disso, a maioria das seęóes no arquivo grub .cfg consiste em 
entradas de menu. O seguinte e umexemplo de umitemde menu extraido do arquivo grub .cfg que 
voce pode selecionar para iniciar o Fedora 16 quando o sistema inicializa: 

menuentry 'Fedora (3.4.2-1.fcl6.i686)' —class fedora 
—class gnu-linux --class gnu --class os { 
load_video 
set gfxpayload=keep 



insmod gzio 
insmod part_msdos 
insmod ext2 

set root=' (hdO,msdos4) ' 

search --no-floppy --fs-uuid —set=root eb31517f-f404-410b- 
937e-a6093b5a5380 

echo 'Loading Fedora (3.4.2-1.fcl6.i686 )' 
linux /boot/vmlinuz-3.4.2-l.fcl6.i686 

root=UUID=eb31517f-f404-410b-937e-a6093b5a5380 ro rd.md=0 

rd.lvm=0 rd.dm=0 KEYTABLE=us ąuiet SYSFONT=latarcyrheb-sunl6 

rhgb rd.luks=0 LANG=en_US.UTF-8 

echo 'Loading initial ramdisk . . . ' 

initrd /boot/initramfs-3.4.2-l.fcl6.i686.img 

} 

Aentrada de menu para essa seleęao aparece como Fedora (3.4.2-1. fcl6 . i686) no menu de 
inicializaęao do GRUB 2. As entradas —class nessa linha permitemąue o GRUB 2 agrupe as entradas 
de menu emclasses (nesse caso, identifica-o como umtipo de sistema fedora, gnu-linux, gnu, 
os). As linhas seguintes carregamdrivers de video e drivers do sistema de arquivos. Depois disso, as 
linhas identificam a localizaęao do sistema de arquivos raiz. 

Nesse ponto, o GRUB 2 exibe urna mensagem Loading Fedora (3.4.2-1. f cl 6 . i68 6). Agora 
obtemos informaęóes que sao semelhantes ao que seria de se esperar em urna entrada do GRUB Legacy. 
Alinha linux identifica a localizaęao do kernel (boot/vmlinuz-3.4.2-1. f cl 6 . i68 6), 
seguida por opęóes que sao passadas para o kernel. Entao, depois de urna mensagem Loading 
initial ramdisk . . ., o local do disco de RAM inicial e identificado e esse arquivo e carregado. 

Ha muitos mais recursos no GRUB 2 que voce pode aprender se quiser se aprofundar em seu gerenciador 
de inicializaęao do sistema. A melhor documentaęao para o GRUB 2 esta disponivel no sistema Fedora: 
digite info grub2 no shell. Aentrada de info para o GRUB 2 fornece muitas informaęóes para iniciar 
sistemas operacionais diferentes, escrever seus próprios arquivos de configuraęao e trabalhar com 
arquivos de imageme comoutros recursos do GRUB, bemcomo configurar variaveis de ambiente. 


Resumo 


Apesar de todas as distribuięóes do Linux inclmrem um metodo de instalaęao diferente, voce precisa 
fazer muitas atividades comuns, independentemente do sistema Linux instalado. Para cada sistema Linux, 
e preciso lidar com quest5es de particionamento de disco, opęóes de inicializaęao e configurar 
gerenciadores de inicializaęao. 

Neste capitulo, voce aprendeu os procedimentos de instalaęao do Fedora (usando urna instalaęao de Live 
CD) e do Red Hat Enterprise (a partir da midia de instalaęao). O capitulo tambem abordou temas 
especiais de instalaęao, incluindo o uso de opęóes de boot e particionamento de disco. Agora, com seu 
sistema Linux instalado, o Capitulo 10 descreve como comeęar a gerenciar o software nele. 




Exercicios 

Use esses exerdcios para testar seus conhecimentos de instalaęao do Linux. Recomendo que voce faęa- 
os em um computador que nao tenha nenhum sistema operacional ou dados que voce nao queira perder 
(emoutras palavras, que voce nao se importa de apagar). Se voce tiver um computador que permite a 
instalaęao de sistemas virtuais, essa tambeme urna forma segura de fazer os exercicios. Esses exercicios 
foram testados usando um Fedora 16 Live CD e umDVD de instalaęao do RHEL 6.2 Server. 

1 - Inicie a instalaęao a partir de um Fedora Live CD usando o maior numero possivel das 
opęoes. 

2 - Depois de ter instalado completamente o Fedora, atualize todos os pacotes no sistema. 

3 - Inicie a instalaęao a partir de urna instalaęao de DVD do RHEL, mas faęa isso de tal 
modo que a instalaęao seja executada emmodo texto. Conclua a instalaęao da maneira 
que voce escolher. 

4 - Inicie a instalaęao a partir de uma instalaęao de DVD do RHEL e configure o 
particionamento de disco da seguinte maneira: uma partięao /boot de 400MB e uma 
partięao LVM de 10 GB. Crie a partięao LVM emum volume LVM fisico e a atribua a 
um grupo de volumes chamado tracker. Crie tres volumes lógicos a partir do grupo de 
volumes tracker: / (3G), /var (2G) e 

/home (3G). Deixe o resto como espaęo nao utilizado. 


inęao 

pletando o Dcercicio 4, voce acabara excluindo todo o conteudo do disco rigido. Se quiser apenas usar esse 
;icio para a pratica de particionamento, voce pode reiniciar seu computador antes de clicar em Next no finał 
e procedimento, sem apagar seu disco rigido. Mas se quiser prosseguir e particionar seu disco, lembre-se de 
odos os dados serao excluidos. 






Obtendo e gerenciando software 


CAPITU^g 


NESTE CAPITULO 

Usando o PackageKit para instalar software 
Trabalhando com pacotes RPM 
Usando o comando yum para gerenciar pacotes 
Usando o comando rpm para trabalharcom pacotes 
Instalando software na empresa 

E m distribuiędes Linux, como Fedora e Ubuntu, voce nao precisa saber muito sobre como o software 
e empacotado e gerenciado para obter aquele que voce quer. Essas distribuięóes possuem 
excelentes ferramentas de instalaęao de softwares, que automaticamente apontam para grandes 
repositórios deles. Apenas alguns cliques e voce esta usando o programa empouco mais tempo do que 
leva para fazer o download. 

O fato de que o gerenciamento de software Linux e tao facil nos dias de hoje e um credito para a 
comunidade Linux, que tern trabalhado diligentemente para criar formatos de pacotes, ferramentas de 
instalaęao complexas e pacotes de software de alta qualidade. Nao só e facil de obter o software, mas 
tambem, urna vez instalado, e facil gerencia-lo, atualiza-lo, consulta-lo e remove-lo. 

Este capitulo comeęa descrevendo como instalar pacotes de software no Fedora usando a ferramenta de 
instalaęao grafica PackageKit. Se voce estiver apenas instalando alguns pacotes de software em seu 
próprio sistema desktop, pode nao precisar de muito mais do que isso e ocasionais atualizaęóes de 
seguranęa. 

Para nos aprofundarmos no gerenciamento de software Linux, descrevo a seguir o que compóe os pacotes 
de software Linux (comparando os pacotes formatados deb e rpm), componentes de software de 
gerenciamento subjacentes e comandos (yum e rpm) para gerenciamento de software no Fedora e Red 
Hat Enterprise Linux. Isso e seguido por urna descrięao de como gerenciar pacotes de software na 
computaęao corporativa. 


Gerenciando software com o PackageKit 



O PackageKit e umconjunto de programas que fornece janelas graficas e outros componentes para 
instalaęao, remoęao e outras tarefas de gerenciamento de software no Fedora e no Red Hat Enterprise 
Linux. O Ubuntu utiliza componentes do PackageKit, mas nao toda a interface. Para usar o PackageKit 
partir de um desktop GNOMĘ 3 no Fedora, clique no icone Add/Remove Software (veja no menu 
Applications). 

A Figura 10.1 mostra um exemplo da janela PackageKit Add/Remove Software sendo usada para 
procurar por umpacote. 



fRA 10.1 


e e gerencie pacotes de software a partir do PackageKit. 


Ativando repositórios e obtendo atualizaęóes 

Depois que voce instalou o Fedora, o PackageKit esta configurado para lidar com as atualizaęóes de 
software e conectar-se a repositórios de programas do Fedora, conforme necessario. Para ver 
informaęóes sobre como o PackageKit esta configurado, a partir da janela PackageKit, selecione System 
=> Software Sources. \foce vai ver: 

■ Update Settings — A partir das definięóes sobre essa guia, voce ve que o sistema verifica 

diariamente a existencia de atualizaęóes de pacotes de software e instala automaticamente apenas 
atualizaęóes de seguranęa. 

■ Software Sources — Entradas dessa guia mostram repositórios de software que estao 

configurados emseu sistema. As commarcas de seleęao ao lado estao habilitadas. Por padrao, o 
repositório principal o de atualizaęóes do Fedora estao habilitados. 

Se voce acabou de instalar o Fedora, e urna boa ideia imediatamente verificar se ha atualizaęóes 
(especialmente se a versao que voce instalou ja existe ha um tempo). Tudo o que voce precisa e urna 
conexao com a internet para verificar se ha atualizaęóes (nenhuma configuraęao ou senha e necessaria). 

Para verificar os pacotes de software atualizados, clique no botao Check Now na parte inferior da guia 
Software Sources. A Figura 10.2 mostra um exemplo da janela Software Updates após urna nova 
instalaęao do Fedora Live CD, com centenas de pacotes disponiyeis para atualizaęao. 




RA 10.2 _ 

>nha o software atual a partir da janela Software Update. 


Neste exemplo, ha 428 pacotes (187,5 MB) prontos para serem atualizados. Assim, o processo pode 
demorar um pouco. \bce pode desmarcar as caixas ao lado de qualquer pacote que nao quer atualizar. 
Quando estiver satisfeito coma lista, clique emlnstall Updates. 

Os repositórios listados vemde entradas nos arquivos do diretório /etc/yum. repos . d. As entradas 
padrao disponibilizam milhares de pacotes a partir dos principais repositórios. Mas voce tambem pode 
adicionar repositórios de terceiros para obter um software especial ou software nao livre que nao vem 
com o Fedora. A seęao “Usando repositórios de software de terceiros”, posteriormente neste capitulo, 
descreve como fazer isso. 

Procurando pacotes 

Para localizar pacotes a partir da janela Add/Remove Software, voce pode usar a caixa de pesquisa 
(para encontrar por urna palavra do nome do pacote ou da descrięao), selecione o pacote a partir dos 
grupos de software listados no lado esquerdo ou classifique-os do mais recente para o mais antigo. 

Clique no nome do pacote para ver urna descrięao. Os icones ao lado de cada pacote informam o status 
de cada um: 

■ Caixa fechada — O pacote esta disponivel, mas ainda nao instalado. 

■ Caixa aberta — O pacote esta instalado. 

■ Caixa aberta com sinal de mais — O pacote esta programado para ser instalado. \bce deve clicar 

em Apply para instala-lo. 

Para refinar sua busca de pacotes, voce pode clicar no botao Filters no topo da janela. Em vez de exibir 
todos os pacotes de urna categoria ou pesquisa, posso selecionar Installed => Only Available para ver 
somente pacotes que nao estao instalados. Ou selecione Graphical => Only Graphical para exibir apenas 
aplicativos graficos. 

Se tiver ativado repositórios nao livres (pacotes que sao de código aberto ou patenteados), voce tambem 
pode ver ou excluir os pacotes no menu Filters. Apenas os pacotes mais recentes e aqueles que 
correspondem a arquitetura de seu computador sao exibidos, mas voce tambem pode mudar isso. 

Instalando e removendo pacotes 

Só para ver como funciona, tente instalar um jogo ou outro pacote de software que lhe interessa. Eis 
como: 


1 - Localize um pacote. Neste caso, quero umjogo; portanto, seleciono a entrada Games na 




coluna esąuerda. A lista de jogos aparece no painel direito. 

2 - Selecione umpacote. Percorra a lista ate encontrar umjogo de que voce goste e clique na 
caixa de seleęao ao lado. Urna descrięao e fatos sobre o pacote (licenciamento, repositório, 
origem, tamanho de download etc.) aparecemnos paineis inferiores. 

3 - Inicie a instalaęao. Clique em Apply para baixar e instalar todos os pacotes marcados. Se 
houver pacotes exigidos pelos pacotes selecionados para faze-los funcionar (pacotes 
dependentes), aparecera urna lista comeles. Clique emContinue para instala-los tambem. 

4 - Autentiąue. Para instalar umpacote assinado, voce precisa digitar sua senha (desde que 
voce tenha atribuldo tal privilegio a seu usuario) ou a senha de root, se voce nao fez isso. 
Isso impede que qualquer software seja instalado em seu sistema sem seu conhecimento. 
Digite sua senha e clique em Authenticate. Os pacotes sao baixados e instalados. 

5 - Comece a usar o pacote. Como instalei o jogo bzflag, fui para o grupo de aplicativos 
Games (tecla Windows => Applications => Games), vi o icone la e o iniciei. Depois de 
algumas horas de batalhas de tanques Online, voltei a escrever o livro. 

Se voce quiser remover umpacote mais tarde, basta procurar por ele. Quando ele for 
exibido, desmarque a caixa de seleęao e clique em Apply. Depois que voce se autenticou 
com sua senha, o pacote e removido. 


Indo alem do PackageKit 

Se estiver gerenciando um unico sistema desktop, voce pode estar bastante satisfeito com os milhares de 
pacotes disponiveis com o Fedora. Salvo indicaęao contraria, todos os pacotes de software utilizados 
neste livro estao disponiveis a partir do repositório Fedora (desktop, administraęao do sistema, servidor, 
desenvolvimento de software e outros tipos de pacotes). 

Mas aqui estao alguns exemplos de por que voce pode querer ir alem do que voce pode fazer com a 
janela Add/Remove Software: 

■ Mais repositórios — O Fedora e o Red Hat Enterprise Linux distribuem apenas software de 

código aberto, livremente distribuido. \foce pode querer instalar alguns softwares comerciais 
(como o Adobe Flash player) ou software nao livre (disponivel a partir de repositórios como 
rpmfusion.org). 

■ Consultas mais complexas — Usando comandos como yum e rpm, voce pode obter informaęóes 

detalhadas sobre os pacotes, grupos de pacotes e repositórios. 

■ Validaęao de software — Utilizando rpm e outras ferramentas, voce pode verificar se um pacote 

assinado foi modificado antes de instala-lo ou se qualquer um dos componentes de um pacote foi 
adulterado desde que ele foi instalado. 

■ Gerenciamento de instalaęao de software — Embora o PackageKit funcione bem se voce estiver 

instalando o software emum unico sistema, ele nao serve bem para gerenciar software emvarios 
sistemas. Outras ferramentas sao construidas por cima do recurso rpm para fazer isso. 


Antes de trabalhar com algumas das ferramentas de linha de comando para a instalaęao e gerenciamento 



de software no Linux, a próxima seęao descreve como os sistemas basicos de empacotamento e 
gerenciamento de pacotes funcionam no Linux. Em particular, focalizo o empacotamento RPM como ele e 
usado no Fedora, no Red Hat Enterprise Linux e em distribuięóes relacionadas. 


Entendendo o empacotamento de software RPM do Linux 

Nos primeiros sistemas Linux, se ąuisesse adicionar mais software, voce pegava o código-fonte de um 
projeto que o produziu, compilava-o embinarios executaveis e o colocava em seu computador. Se tivesse 
sorte, alguem ja o teria compilado de urna forma que seria executado em seu computador. 

A forma do pacote poderia ser um tarball, contendo arquivos executaveis (comandos), documentaęao, 
arquivos de configuraęao e bibliotecas. (Um tarball e umarquivo unico emque varios arquivos sao 
reunidos para facilitar o armazenamento ou distribuięao.) Quando voce instala o software a partir de um 
tarball, os arquivos deste talvez sejamdistribuidos por seu sistema Linux emdiretórios apropriados 

(/usr/share/man, /etc, /bin e /lib, para citar alguns). 

Embora seja facil criar um tarball e simplesmente copiar umconjunto de aplicativos emseu sistema 
Linux, esse metodo de instalaęao de software torna dificil: 

■ Obter software dependente — \foce precisa saber se o software que esta instalando depende de 

outro software que esta sendo instalado para que ele funcione. Entao voce teria de rastrear esse 
software e instala-lo tambem(o qual tambempode ter suas próprias dependencias). 

■ Listar o software — Mesmo se voce soubesse o nome do comando, talvez nao soubesse onde sua 

documentaęao ou seus arquivos de configuraęao estavam instalados quando voce o procurava 
posteriormente. 

■ Remover o software — Amenos que voce mantivesse o tarball original ou urna lista de arquivos, 

voce nao saberia onde todos os arquivos estavam quando chegava a hora de remove-los. Mesmo 
se soubesse, voce tinha de remover cada umindividualmente. 

■ Atualizar o software — Tarballs nao sao projetados para manter metadados sobre o conteudo que 

eles armazenam Depois de instalar o conteudo de um tarball, voce pode nao ter como dizer qual 
versao do software voce esta usando, o que torna dificil rastrear erros e obter novas vers5es dele. 

Para lidar comesses problemas, os pacotes evoluiramde simples tarballs para pacotes mais complexos. 
Com apenas algumas poucas exceę5es (como o Gentoo, o Slackware e outros), a maioria das 
distribuięóes Linux se classificava em um de dois formatos de pacotes diferentes — DEB e RPM: 

■ Pacotes DEB (deb.) — O projeto Debian GNU/Linux criou os pacotes . deb, que sao usados pelo 

Debian e outras distribuięóes baseadas em Debian (Ubuntu, Linux Mint, KNOPPIX etc.). Usando 
ferramentas como apt-get e dpkg, distribuięóes Linuxpodeminstalar, gerenciar, atualizar e 
remover software. 

■ Pacotes RPM (.rpm) — Originalmente chamado Red Hat Package Manager, mas mais tarde 

renomeado recursivamente como RPM Package Manager, o RPM e o formato de pacotes 
preferido para as distribuięóes SUSE e Red Hat (RHEL e Fedora) e aquelas baseadas em 




distribuięoes do Red Hat (CentOS, Oracle Linux etc.). O comando rpm foi a primeira ferramenta 
para gerenciar RPMs, mas mais tarde o yum foi adicionado para aumentar a facilidade do RPM. 


Para o gerenciamento de sistemas de software individuais, ha proponentes de ambos os lados do debate 
RPM versus DEB com argumentos validos. Mas o RPM e o formato preferido para gerenciar instalaęao, 
atualizaęao e manutenęao de software de ąualidade corporativa. Este capitulo centra-se no gerenciamento 
de pacotes RPM (Fedora e Red Hat Enterprise Linux) e no gerenciamento de software. 

Entendendo pacotes RPM 

Um pacote RPM e urna consolidaęao de arquivos necessarios para fornecer um recurso, como um 
processador de texto, um visualizador de fotos ou um servidor de arquivos. Dentro de um RPM pode 
estar os comandos, arquivos de configuraęao e documentaęao que compóem o recurso de software. Mas 
um arquivo RPM tambem contem metadados que armazenam informaęóes sobre o conteudo do pacote, de 
onde o pacote veio, o que ele precisa para funcionar e outras informaęóes. 

Oqueha em um RPM? 

Antes mesmo de olhar para dentro de um RPM, voce pode dizer muito sobre ele a partir do próprio nome 
do pacote. Para descobrir o nome de um pacote RPM atualmente instalado em seu sistema (como o 
navegador Firefox), voce pode digitar o seguinte a partir do shell no Fedora ou no Red Hat Enterprise 
Linux: 

# rpm -q firefox 

firefox-10.0.3-1.el6_2.x86_64 

A partir dai, voce pode dizer que o nome de base do pacote e f iref ox. O numero da release e 10.0.3 
(atribuido pelo criador inicial (upstream producer ) do Firefox, o Mozilla Project). O numero de versao 
(atribuido pelo empacotador, a Red Hat, cada vez que o pacote e reconstruido com o mesmo numero de 
release) e 1. O pacote f iref ox foi construido para o Red Hat Enterprise Linux 6.2 (el6_2) e compilado 
para a arquitetura X86 de 64 bits (x86_64). 

Quando o pacote f iref ox foi instalado, provavelmente foi copiado da midia de instalaęao (como um 
CD ou DVD) oubaixado de um repositório YUM (mais sobre isso mais tarde). Se voce tivesse recebido 
o arquivo RPM e ele residisse em um diretório local, o nome poderia aparecer como f iref ox- 
10.0.3-1. el 6 2 . x 8 6 6 4 . rpm e voce poderia instala-lo a partir dai. Independentemente de onde 
ele veio, urna vez instalado, o nome e outras informaęóes sobre o pacote sao armazenados emumbanco 
de dados RPM na maquina local. 

Para saber mais sobre o que esta dentro de um pacote RPM, voce pode usar outras opęóes alem do 
comando rpm para consultar o banco de dados RPM local. Por exemplo: 



# rpm -qi firefox 

Kanie: firefox Reiocationa: (net relocatabie) 

Version: 10.0.3 Vendor: Red Hat, Inc. 

Releaae: l.el6_2 3uild Datę: Tue 06 Mar 2012 04:41:17 AM EST 

Install Datę: Thu 22 Mar 2012 01:54:02 PM EDT 
Build Host: x36-003.build.b-os.redhat.com 

Group: Applications/Internet Src RPM: firefox-10.0.3-l.elć_2.src. 
rpm 

Size: 24510223 License: MPLvl.l or GPLv2+ or LGPLv2+ 
Signature: RSA/9, Tue 13 Mar 2012 08:14:35 AM, Key ID 
199e2f91fd431d51 

Packager: Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla> 
URL: http://www.mozilla.org/projects/firefcx/ 

Sumraary: Mozilla Fire£ox Web browser 
Description: 

Mozilla Firefcx is an open-source web browser, designed for 
standards 

compliance, performance and portability. 


Alemdas informaęóes que voce obtema partir do nome do pacote emsi, a opęao -qi (ąuery 
Information / consultar informaęóes) permite que voce veja quem constriiiu o pacote (Red Hat, Inc.), 
quando ele foi constrmdo e quando ele foi instalado. O grupo em que o pacote esta 
(Applications/Internet), seu tamanho e o licenciamento sao listados. Para saber mais sobre o pacote, a 
URL aponta para a pagina do projeto na internet e o Summary e a Description informam para que o pacote 
e utilizado. 

Deondevem os RPMs? 

O software incluido com distribuięóes Linux ou construidos para trabalhar com essas distribuięóes vem 
de milhares de projetos de código aberto de todo o mundo. Esses projetos, conhecidos como 
fornecedores de software upstream, geralmente tornam o software disponivel para quem os quiser, sob 
certas condięóes de licenciamento. 

Urna distribuięao Linuxtemo código-fonte e o constrói na forma de arquivos binarios. Entao, a 
distribuięao junta os binarios com a documentaęao, arquivos de configuraęao e outros componentes 
disponibilizados pelo provedor upstream. 

Depois de juntar todos os componentes no RPM, o pacote RPM e assinado (para que usuarios possam 
testar a validade do pacote) e colocado em um repositório de RPMs para a distribuięao e a arquitetura 
especificas (32-bit x86, x86 de 64 bits e assimpor diante). O repositório e colocado emumCD ou DVD 
de instalaęao ou em um diretório que e disponibilizado como um servidor FTP, Web ou NFS. 

Instalando RPMs 

Quando voce inicialmente instala um Fedora ou um Red Hat Enterprise Linux, muitos pacotes RPM 
individuais compóem essa instalaęao. Depois de instalar o Linux, voce pode adicionar mais pacotes 
usando a interface grafica do PackageKit (como descrito anteriormente). Consulte o Capitulo 9 para obter 
informaęóes sobre a instalaęao do Linux. 

A primeira ferramenta a ser desenvolvida para instalar pacotes RPM, porem, foi o comando rpm. 

Usando o rpm, voce pode instalar, atualizar, consultar, validar e remover pacotes RPM. O comando, 
porem, temalgumas desvantagens importantes: 

■ Dependencias — A maioria dos pacotes RPM dependem de algum outro software (biblioteca, 
arquivos executaveis etc.) que e instalado no sistema para o pacote funcionar. Quando voce tenta 
instalar um pacote com o rpm, se um pacote dependente nao estiyer instalado, a instalaęao 



falhara, dizendo quais componentes sao necessarios. Nesse ponto, voce temde escavar para 
encontrar o pacote que contemesse componente. Depois de encontra-lo e tentar instala-lo, esse 
pacote dependente pode ter dependencias que voce precisa instalar para faze-lo funcionar. Essa 
situaęao foi carinhosamente chamada de “inferno das dependencias” e foi muitas vezes usada 
como umexemplo de que pacotes DEB erammelhores do que RPMs. As ferramentas de 
empacotamento DEB foram feitas para resolver automaticamente as dependencias de pacotes bem 
antes das ferramentas de empacotamento relacionadas com RPM fazerem isso. 

■ Localizaęao dos RPMs — O comando rpm espera que voce forneęa a localizaęao exata do 
arquivo RPM quando tenta instala-lo. Emoutras palavras, voce teria de indicar firefox- 
10.0.3-1. el6_2 . x86_64 . rpm como urna opęao se o RPMestivesse no diretório atual ou 

http : //example . com/f irefox-10.0.3-1. el6_2 . x86_64 . rpm se fosse emum 
servidor. 

A medida que o Red Hat Linux e outros aplicativos baseados em RPM cresciam em popularidade, 
tornou-se evidente que algo tinha de ser feito para tornar o pacote de instalaęao mais conveniente. A 
resposta foi o recurso YUM. 


Gerenciando pacotes RPM com o YUM _ 

O projeto Yellowdog Updater Modified (YUM) foi criado para resolver a dor de cabeęa de gerenciar 
dependencias com pacotes RPM. Sua principal contribuięao foi a de parar de pensar em pacotes RPM 
como componentes individuais e pensar neles como partes de repositórios de software maiores. 

Com repositórios, o problema de lidar com dependencias nao recai na pessoa que instalava o software, 
mas na distribuięao Linux ou no distribuidor de software independente que disponibiliza o software. 
Assim, por exemplo, caberia ao projeto Fedora se certificar de que todos os componentes necessarios 
para cada pacote em sua distribuięao Linux podem ser disponibilizados por algum outro pacote no 
repositório. 

Repositórios tambem podem se basear um no outro. Assim, por exemplo, o repositório rpmfusion.org 
poderia supor que umusuario ja teve acesso ao repositório Fedora principal. Portanto, se um pacote que 
esta sendo instalado a partir de rpmfusion.org precisasse de urna biblioteca ou de comando a partir do 
repositório Fedora principal, o pacote Fedora poderia ser baixado e instalado ao mesmo tempo em que 
voce instala o pacote rpmfusion.org. 

Os repositórios yum podem ser colocados em um diretório emumservidor web (http : //), servidor 
FTP (ftp : //) oumidia local, como umCD, DVD ou diretório local (file://). A localizaęao desses 
repositórios, entao, seria armazenada no sistema do usuario no arquivo /etc/yum. conf ou, mais 
geralmente, emarquivos de configuraęao separados no diretório /etc/yum. repos . d. 

Entendendo como funciona o yum 

A sintaxe basica do comando yum e: 




# yum [options] command 


Usando essa sintaxe, voce pode encontrar e consultar as informaęóes de pacotes, saber mais sobre grupos 
de pacotes, atualizar ou excluir pacotes, para citar alguns recursos. Como repositório YUM e a 
configuraęao no lugar, um usuario pode instalar um pacote simplesmente digitando algo assim: 

# yum install firefox 

O usuario só precisa saber o nome do pacote (que pode ser consultado em diferentes formas, como 
descrito na seęao “Pesąuisando pacotes”, mais adiante neste capitulo). Ainstalaęao YUM encontra a 
versao mais recente desse pacote dispomvel no repositório, transfere-o para o sistema local e instala-o. 
A Figura 10.3 mostra o que acontece quando alguem instala um pacote usando o comando yum. 

O resultado de um comando yum install package e que o pacote solicitado e copiado a partir do 
repositório yum para o sistema local. Os arquivos do pacote sao colocados no sistema de arquivos onde 
sao necessarios (/etc, /bin, /usr/share/man etc.). As informaęóes sobre o pacote sao 
armazenadas no banco de dados RPM local, onde podem ser consultadas. 



fRA 10.3 


iades locais e remotas ao instalar um RPM com o YUM. 


Para ganhar mais experiencia com a instalaęao do YUM e ver onde ha oportunidades para que voce 
personalize como o YUM funciona em seu sistema, siga as descrięóes de cada fasę do processo de 
instalaęao do yum ilustradas na Figura 10.3 e definidas aqui. 

1. Verificando /etc/yum.conf 

Quando qualquer comando yum e iniciado, ele verifica as configuraęóes padrao no arquivo 
/etc/yum. conf . O arquivo /etc/yum. conf e de configuraęao basica do YUM. \bce tambem 
pode identificar a localizaęao dos repositórios aqui, embora o diretório /etc/yum. repos . d seja o 
local mais tipico para identificar repositórios. Eis um exemplo de /etc/yum. conf emum sistema 
RHEL6.2: 

[main] 

cachedir=/var/cache/yum/$basearch/$releasever 

keepcache=0 

debuglevel=2 

logfile=/var/log/yum.log 

exactarch=l 

plugins=l 

gpgcheck=l 

As configuraęóes em yum. conf dizem ao YUM onde manter os arquivos de cache 
(/var/cache/yum) e entradas de log (/var/log/yum. log) e se deve ounao manter arquivos de 
cache depois que umpacote e instalado (0 significa nao). \bce pode aumentar o valor debuglevel no 
arquivo yum. conf para acima de 2 se quiser ver mais detalhes em seus arquivos de log. 

Em seguida, voce pode ver se a arquitetura exata (x86, x86_64 etc.) deve ser combinada ao escolher 
pacotes para instalar (1 significa sim) e se deve ou nao usar plugins (1 significa sim) para permitir coisas 
como listas negras, listas brancas ou conectar-se a Red Hat NetWork para encontrar pacotes. 

Por firn, gpgcheck diz se voce deve ou nao validar cada pacote com urna chave que voce recebe de 
quem construiu o RPM. Para pacotes que vem com o Fedora ou o RHEL, a chave vem incluida na 
distribuięao para verificar todos os pacotes. Mas se tentar instalar pacotes que nao sao de sua 
distribuięao, voce precisa importar a chave necessaria para assinar os pacotes ou desativar esse recurso 

(gpgcheck=0). 

Para encontrar outros recursos que voce pode definir no arquivo yum. conf, digite man yum. conf. 


2.Verificando /etc/sysconfig/rhn/up2date (RHELsomente) 




Para sistemas Red Hat Enterprise Linux, emvez de apontar para um repositório de software publico 
unico (como o Fedora), voce registra seu sistema na Red Hat NetWork e compra direitos para baixar o 
software a partir de diferentes canais. 

Quando o sistema esta registrado na Red Hat NetWork, a informaęao e adicionada ao arquivo 
/etc/sysconf ig/rhn/up2date para dizer ao yumonde encontrar pacotes Red Hat Enterprise 
Linux (a partir de um Red Hat NetWork hospedado ou de um servidor RHN Satellite). 

3. Verificando arquivos/etc/yum.repos.d/*.repo 

Repositórios de software podemser ativados copiando arquivos que terminamem . repo para o 
diretório /etc/yum. repos . d/ que apontampara a localizaęao de umoumais repositórios. No 
Fedora, ate seus repositórios basicos sao ativados a partir dos arquivos . repo nesse diretório. 

O seguinte e um exemplo de um arquivo de configuraęao yum simples chamado 

/etc/yum.repos.d/myrepo.repo: 

[myrepo] 

name=My repository of software packages 
baseurl=http://myrepo.example.com/pub/myrepo 
enabled=l 
gpgcheck=l 

gpgkey=file:///etc/pki/rpm-gpg/MYOWNKEY 

Cada entrada no repositório comeęa como nome do repositório entre colchetes. Alinha name contem 
urna descrięao legivel por humanos do repositório. Alinha baseurl identifica o diretório que contem 
os arquivos rpm, o que pode ser urna entrada httpd : //, ftp : / / ou f ile : //. 

Alinha enabled indica se ounao a entrada esta ativa. 1 e ativa e 0 e inativa. Se nao houver urna linha 
enabled, a entrada esta ativa. As duas ultimas linhas do código anterior indicam se ou nao verificar as 
assinaturas empacotes nesse repositório. Alinha gpgkey mostra a localizaęao da chave que e usada 
para verificar os pacotes nesse repositório. 

Ybce pode ter quantos quiser repositórios habilitados, mas tenha em mente que quando voce usa 
comandos yum, cada repositório e verificado e metadados sobre todos os pacotes sao baixados para o 
sistema local que esta executando o comando yum. Assim, para ser mais eficiente, nao ative repositórios 
dos quais voce nao precisa. 

4. Baixando pacotes RPM e metadados de um repositório YUM 

Depois que yum sabe os locais dos repositórios, os metadados provenientes do diretório repodata de 
cada repositório sao baixados para o sistema local. De fato, e a existencia de um diretório repodata 
em um diretório de RPMs que indica que ele e um repositório yum 

As informaęóes de metadados sao armazenadas no sistema local no diretório /var/cache/yum. 
Quaisquer outras pesquisas sobre pacotes, grupos de pacotes ou outras informaęóes do repositório sao 
reunidos a partir dos metadados em cache por um tempo determinado. 

Depois que o tempo limite e atingido, yum recupera novos metadados se o comando yum for executado. 



Por padrao, o tempo de espera e de 90 minutos. \bce pode alterar esse periodo definindo 
metadata_expire no arquivo /etc/yum. conf. Remova os caracteres de comentario dessa linha 
e altere o numero de minutos. 

Em seguida, o yum olha para os pacotes cuja instalaęao voce solicitou e verifica se ha pacotes 
dependentes exigidos. Coma lista de pacotes reunidos, o yum pergunta se esta tudo certo para baixar 
todos os pacotes. Se voce escolher sim, os pacotes sao baixados para os diretórios de cache e instalados. 

5. Pacotes RPM instalados para o sistema de arquivos Linux 

Urna vez que todos os pacotes necessarios sao transferidos para os diretórios de cache, o comando yum 
roda comandos rpm para instalar cada pacote. Se umpacote contiver os Scripts de pre-instalaęao (que 
podemcriar urna conta de usuario especial ou criar diretórios), esses Scripts sao executados. O conteudo 
dos pacotes e copiado para o sistema de arquivos (comandos, arquivos de configuraęao, documentos 
etc.). Entao, os Scripts de pós-instalaęao sao executados. (Scripts de pós-instalaęao executam comandos 
adicionais necessarios para configurar o sistema depois que cada pacote e instalado). 

6. Armazene o repositório de metadados YUM no banco de dados RPM local 

Os metadados contidos em cada pacote RPM instalado sao, por firn, copiados para o banco de dados 
RPM local. O banco de dados RPM esta contido nos arquivos que sao armazenados no diretório 

/ var/lib/rpm. 

Depois que as informaęóes sobre os pacotes instalados estao no banco de dados RPM local, voce pode 
fazer varios tipos de consulta a esse banco de dados. \bce pode ver quais pacotes estao instalados, listar 
os componentes desses pacotes e ver Scripts ou mudar logs associados a cada pacote. \bce pode ate 
validar os pacotes instalados no banco de dados RPM para ver se alguem adulterou componentes 
instalados. 

O comando rpm (descrito na seęao “Instalando, consultando e verificando software com o comando 
rpm”, mais adiante neste capitulo) e a melhor ferramenta para consultar o banco de dados RPM. \bce 
pode executar consultas individuais com rpm ou usa-lo em Scripts para produzir relatórios ou executar 
consultas comuns repetidamente. 

Agora que voce entende o funcionamento basico do comando yum, seu sistema Fedora deve estar 
automaticamente configurado para se conectar ao repositório principal e ao de atualizaęóes do Fedora. 
\bce pode ir em frente e tentar algumas linhas de comando do yum para instalar pacotes agora. Ou voce 
pode ativar repositórios YUM de terceiros para baixar software. 


Usando o YUM com repositórios de software de terceiros 

Os repositórios de software do Fedora e do Red Hat Enterprise Einux foram preparados para conter 
apenas software que atenda aos criterios que o tornamaberto e redistribuivel. Emalguns casos, porem, 
voce pode querer ir alem desses repositórios. Antes de fazer isso, voce deve compreender que alguns 
repositórios de terceiros: 

■ Tern exigencias menos rigorosas para redistribuięao e liberdade em relaęao as restrięóes de 
patentes do que os repositórios do Fedora e do RHEF; 



■ Podem introduzir alguns conflitos de software; 

■ Podem incluir o software que nao e de código-fonte aberto e, embora possam ser livres para uso 

pessoal, podem nao ser redistribmveis; 

■ Podem retardar o processo de instalaęao de todos os seus pacotes (porque metadados sao baixados 

para cada repositório que voce tiver habilitado). 

Por essas razóes, recomendo que voce nao habilite todos os repositórios de software extra ou habilite 
somente o repositório RPM Fusion (http : / /rpmf usion . org) emprimeiro lugar para o Fedora e o 
repositório EPEL (http : //f edorapro j ect.org/wiki/EPEL) para o Red Hat Enterprise Linux. 
O RPM Fusion apresenta urna fusao de varios populares repositórios Fedora de terceiros (Freshrpms, 
Livna.org e Dribble). Veja a FAQ do repositório para obter detalhes 

(http : / /rpmf usion . org/FAQ). Para habilitar o repositório RPM Fusion no Fedora, faęa o 
seguinte: 

1 - Abra urna janela de terminal. 

2 - Digite su - e insira a senha de root quando solicitado. 

3 - Digite o seguinte comando emuma linha semespaęo entre a barra e rpmfusion. (Tive de 
quebrar a linha em duas porque era muito grandę para caber em urna linha na pagina 
impressa deste livro, entao certifique-se de digitar o endereęo completo em urna linha sem 
espaęo): 

# rpm -Uvh http://downloadl.rpmfusion.org/free/fedora/ 
rpmfusion-free-release-stable.noarch.rpm 

O repositório nao livre do RPM Fusion contem coisas como codecs necessarios para reproduzir muitos 
formatos populares de multimidia. Para habilitar o repositório nao livre no Fedora, digite o seguinte 
(novamente, digite as seguintes linhas emuma unica linha, semespaęo entre os dois): 

# rpm -Uhv http://downloadl.rpmfusion.org/nonfree/fedora/ 
rpmfusion-nonfree-release-stable.noarch.rpm 

A maioria dos repositórios de terceiros que podem interessar-lhe contem software que nao e de código- 
fonte aberto. Por exemplo, se voce deseja instalar o Adobe Flash plug-in para Linux, baixe o pacote 
repositório YUM da Adobe e voce pode usar o comando yum para instalar o plug-in Flash e obter 
atualizaędes mais tarde, executando o comando yum update, quando houver atualizaęóes disponiveis. 

Gerenciando software com o comando YUM 

O comando yum tern dezenas de subcomandos que voce pode usar para trabalhar com pacotes RPM em 
seu sistema. As próximas seęóes fornecem alguns exemplos de linhas de comando yum uteis para 
procurar, instalar, consultar e atualizar pacotes associados com seus repositórios YUM. Tambem ha urna 
seęao que descreye como remover os pacotes instalados com o comando yum. 




ta 

idados, descrevendo o conteudo dos repositórios YUM, sao baixados de cada um de seus repositórios YUM 
itados na primeira vez que voce executa um comando yum. Metadados sao baixados novamente após o tempo 
jdata_expire seratingido (90 minutos, por padrao). Quanto mais repositórios YUM voce habilita e quanto maiores 
forem, mais tempo esse download pode demorar. Voce pode reduzir esse tempo de download aumentando o 
)o de expiraęao (no arquivo/etc/yum. conf) ou nao habilitando repositórios dos quais voce nao precise. 


Procurando porpacotes 

Usando diferentes subcomandos de pesąuisa, voce pode encontrar pacotes combase em palavras-chave, 
conteudo ou outros atributos deles. 

Digamos que voce queira experimentar um editor de texto diferente, mas nao consegue lembrar o nome 
daquele que voce queria. \bce pode usar o subcomando search para procurar o termo “editor” no 
nome ou na descrięao: 

# yum search editor 

eclipse-veditor.noarch : Eclipse-based Verilog/VHDL plugin 
ed.x86_64 : The GNU linę editor 
emacs.x86_64 : GNU Emacs text editor 

A pesquisa revelou urna longa lista de pacotes contendo “editor” no nome ou na descrięao. O que eu 
estava procurando chamava-se emacs. Para obter informaęóes sobre o pacote, posso usar o subcomando 

inf o: 


= yum info emacs 

Mamę : emacs 


Arch 

Epoch 

Version 


x8 €_ć 
1 

23.1 


Release 

Size 


21.el€_2.3 
2.2 M 


Rep* 

Summary 

License 


productior.-rhel-x86_64-workstatior.-€ 

GNU Emacs text editor 

GPLv3+ 


Uescription 


Emacs is a poverful, customizable, self-dccumenting, 
modeless rext editor. Emacs concacns special codę 
editir.g ćeatures, a scrcpting language (elisp) , ar.d ... 


Se voce souber o comando, o nome do arquivo de configuraęao ou biblioteca que voce quer, mas nao 
souber qual pacote e, use o subcomando provides para procura-lo. Aqui voce pode ver que o 
comando dvdrecord e parte do pacote wodim: 


# yum provides dvdrecord 

wodom-1.1.9-11.el€.x5€_€4 : A comnand lone CD/DVD recording program. 
RepO' : production-rhel-x86_64-v>'orkstatior.-€ 

Matched from: 

Cther : dYdrecord 


O subcomando list pode ser utilizado para listar nomes de pacotes de diferentes maneiras. Use-o com 
umnome de base do pacote para encontrar a versao e o repositório de um pacote. \bce pode listar apenas 
os pacotes que estao disponiveis (available) ouinstalados (installed) ouvoce pode listar todos 
(all) eles. 







updaoes 


fedora 

updares 

updaoes 


# yum list emacs 

emacs.i63£ 1:23.3-5.fcl€ 

# yum list available 

389-admin.i6S6 1.1.23-1.fclć 

38 5-admo.n-console.noarch 1.1.8-2. fcl6 

38 5-admc.n-console-doc .noarch 1.1.8-2. £cl€ 

t yum list installed 
Inscalled Fackages 
ConsoleKit.iCSS 0.4.5-l.fclS 8koji-overriae-0/?releasever 

ConsoleKic-libs,i€3€ 0.4.5-1.fclS 8koji-override-0/$releasever 

ConsoleKic-xll,i686 0.4.5-1.fclS @koji-override-0/$releaseuer 

# yum list all 

Se encontrar um pacote, mas quiser ver os componentes de que ele depende, voce pode usar o 
subcomando deplist. Comdeplist, voce pode ver os componentes (dependencia), mas tambemo 
pacote emque esse componente vem(provedor). Usar deplist pode aj udar se nenhum pacote estiver 
dispomvel para fornecer urna dependencia, mas voce quiser saber qual e o componente para poder 
pesquisa-lo emoutros repositórios. Considere o seguinte exemplo: 

# yum deplist emacs | less 

Finding dependencies: 

package: emacs.x86_64 1:23.1-21.el6_2.3 
dependency: libc.so.6(GLIBC_2.3.4) (64bit) 
provider: glibc.x86_64 2.12-1.7.el6 
dependency: libasound.so.2(ALSA_0.9.0rc4) (64bit) 

Instalando e removendo pacotes 

O subcomando install permite instalar umoumais pacotes, juntamente comtodos os pacotes 
dependentes necessarios. Com yum install, multiplos repositórios podem ser pesquisados para 
satisfazer as dependencias necessarias. Considere o seguinte exemplo de yum install: 

# yum install emacs 


Fackage Arch Version Repository 5ize 


Installzng: 

er.acs x86_€4 1:23.1-21 .el€_2.3 rhel-x8€_€4-workstation-6 2.2 M 

Installing for dependencies: 

emacs-commcr. x3€_€4 1:23.1-21 .el€_2.3 rhel-x3€_€4-ws-6 18 M 

Transaccion Summary 


Install 2 Fackage(s) 

Total download sice: 20 H 
Inscalled size: 0 
Is this ok [y/N]: y 


\bce pode ver aqui que o emacs requer que emacs-common seja instalado e, portanto, ambos sao 
colocados na fila para instalaęao. Os dois pacotes juntos tern 20MB. Pressionar y instala-os. \foce pode 
colocar um -y na linha de comando (logo após o comando yum) para evitar ter de pressionar y para 
instalar os pacotes, mas, pessoalmente, prefiro ver todos os pacotes que serao instalados antes de 
concordar com a instalaęao. 

\bce pode reinstalar um pacote previamente instalado se excluir por engano componentes dele. Se voce 
tentar urna instalaęao regular, o sistema respondera com “nothing to do” (“nada a fazer”). Voce deve, em 





vez disso, usar o subcomando reinstall. Por exemplo, digamos que voce instalou o pacote zsh e 
depois excluiu /bin/zsh por engano. \bce pode restaurar os componentes emfalta, digitando o 
seguinte: 

# yum reinstall zsh 

\foce pode remover umunico pacote como subcomando erase. Por exemplo, para apagar o pacote 
emacs, voce pode di gitar o seguinte: 


t yum erase emacs 

Depender.cies Resolved 


Package 

Arch "ersior. 

Repository Sice 

Remoying: 

emacs x86_64 1:23.1-21 

Transaction Summary 

.el6_2.3 §rhei-x36_64-workstation-6 11 M 


Remove 1 Fackage(s) 

Installed size: 11 M 

Is this ck [y/N]: y 


Observe que, apesar de dois pacotes terem sido instalados quando o emacs foi instalado, somente o 
pacote emacs foi removido como subcomando erase. Embora o emacs exija que o emacs- 
common seja instalado, o emacs-common nao depende do emacs e poderia, portanto, permanecer no 
sistema semquebrar as dependencias. Executar yum remove emacs-common teria removido os 
dois pacotes. 

Um metodo alternativo para remover umconjunto de pacotes que voce instalou e usar o subcomando 
history. Usando history, voce pode ver as atividades do seu yum e desfazer urna transaęao inteira. 
Emoutras palavras, todos os pacotes que voce instalou podemser desinstalados utilizando a opęao 
undo do subcomando history. Por exemplo: 

t yum history 

ID I Login user I Datę and cine A.ction(s) I Altered 


96 Chris Kegus <cnegus> I 2012-04-10 06:25 Dnstall I 2 

# yum history info 96 

Transaction ID : 96 

Command Linę : install emacs 

# yum history undo 96 

Ondoing transaction 96, from Due Apr 10 06:25:41 2012 
Install emacs-1:23.1-21.e!6_2.3.x86_64 @rhel-x86_64-vorkstation-6 
Dep-Ir.scall emacs-common-l: 23.1-21. el6_2.3 .x86_64 @rhel-workstation-6 
Resolving Dependencies 


Antes de desfazer a transaęao, voce pode ve-la para saber exatamente quais pacotes estao envolvidos. 

Ver a transaęao pode salva-lo de excluir por engano pacotes que voce deseja manter. Desfazendo a 
transaęao 96, voce pode remover os pacotes que foram instalados durante essa transaęao. Se voce estiver 
tentando desfazer urna instalaęao que inclui dezenas ou mesmo centenas de pacotes, undo pode ser urna 
opęao muito util. 









Atualizando pacotes 

A medida que novas releases de um pacote se tornam disponiveis, elas, as vezes, sao colocadas em 
repositórios de atualizaęao separados ou simplesmente adicionadas ao repositório original. Caso varias 
vers5es de um pacote estejamdisponiveis (quer no mesmo repositório ou outro repositório habilitado), o 
comando yum fornece a versao mais recente quando voce instala um pacote. Se urna nova versao 
aparecer mais tarde, voce pode baixar e instalar a nova versao do pacote usando o subcomando 
update. 

O subcomando check-update, pode verificar se ha atualizaęóes. O subcomando update pode ser 
usado para atualizar um unico pacote ou para obter atualizaęóes para todos os pacotes que estao 
instalados atualmente e tern urna atualizaęao disponivel. Por exemplo: 

t yum check-update 

freetype.xS6_€4 2.3. ll-€ .el€_2.9 rhel-x86_server-6 
libtiff.x86_ó4 3.9.4-5.eló_2 rhel-xS6_server-€ 

t yum update 

tzdata noarch 2012b-3.el€ rhel-x3€_€4-workstacion-6 441 k 

tzdata-java noarch 2012b-3.el€ rhel-x3€_€4-workstacion-6 154 k 

Transaction Suicmary 


Upgrade 38 Package(s) 

Total dC'Wnload size: 50 M 
Is this ok [y/N]: y 

t yum update cups 

O código anterior solicitou para atualizar o pacote cups. Se outros pacotes dependentes precisarem ser 
atualizados para atualizar cups, eles tambemserao baixados e instalados. 

Atualizando grupos de pacotes 

Para facilitar o gerenciamento de umconjunto de pacotes de urna só vez, o YUM suporta grupos de 
pacotes. Por exemplo, voce pode instalar o GNOMĘ Desktop Environment (para obter um desktop 
inteiro) ou Yirtualization (a firn de obter os pacotes necessarios para configurar o computador como urna 
maquina virtual). \bce pode comeęar executando o subcomando grouplist para ver urna lista de 
nomes de grupo: 

# yum grouplist | less 

Installed Groups: 

Administration Tools 
Design Suitę 

Dial-up Networking Support 

Available Groups: 

Authoring and Publishing 
Base 

Books and Guides 

Digamos que voce queria experimentar um desktop diferente. Voce ve o LXDE e quer saber o que esta 
nesse grupo. Para saber, use o subcomando groupinf o: 



# yum groupinfo LXDE 

Group: LXDE 

Description: LXDE is a lightweight XII desktop environment... 
Mandatory Packages: 
lxde-common 
lxmenu-data 


Alemde mostrar uma descrięao do grupo, groupinfo mostra pacotes obrigatórios (aąueles que sempre 
sao instalados com o grupo), pacotes padrao (aąueles que sao instalados por padrao, mas podem ser 
excluidos) e pacotes opcionais (que fazem parte do grupo, mas nao sao instalados por padrao). Quando 
voce usa ferramentas graficas para instalar grupos de pacotes, pode desmarcar pacotes padrao ou marcar 
pacotes opcionais para definir se ou nao eles sao instalados com o grupo. 

Se voce decidir que quer instalar um grupo de pacotes, use o subcomando groupinstall: 

# yum groupinstall LXDE 

Esse groupinstall resultouna instalaęao de 23 pacotes do grupo e 9 pacotes extras. Se decidir que 
nao gosta do grupo de pacotes, voce pode remove-lo inteiramente de uma vez usando o subcomando 

groupremove: 

# yum groupremove LXDE 

Mantendo o banco de dados e o cache de pacotes RPM 

Ha varios subcomandos do yum que podem aj udar voce a fazer as tarefas de manutenęao, como verificar 
problemas com seu banco de dados RPM ou limpar o cache. O recurso YUM tern ferramentas para 
manter seus pacotes RPM e manter o software de seu sistema eficiente e seguro. 

Limpar o cache e algo que e recomendavel fazer de vez em quando. Se voce decidir manter os pacotes 
baixados depois que eles forem instalados (eles sao removidos por padrao, combase na configuraęao 
keepcache=0 no arquivo /etc/yum. conf), seus diretórios de cache (em /var/cache/yum) 
podem ficar cheios. Metadados armazenados em diretórios de cache podem ser apagados, fazendo com 
que novos metadados sejambaixados de todos os repositórios YUM habilitados da próxima vez que o 
comando yum for executado. Eis algumas formas de limpar essas informaęóes: 

# yum clean packages 

Cleaning repos: rhel-x86_64-server-6 
7 package files removed 

# yum clean metadata 

43 metadata files removed 
13 sąlite files removed 

# yum clean all 

Cleaning repos: rhel-x86_64-server-6 
Cleaning up Everything 



Embora improvavel, e possivel que o banco de dados RPM seja corrompido. Isso pode acontecer se algo 
inesperado ocorrer, como puxar o cabo de energia quando um pacote esta parcialmente instalado. \bce 
pode verificar o banco de dados RPM para procurar erros (yum check) ou apenas reconstruir os 
arquivos de banco de dados do RPM, como segue: 

# yum check 
check all 

# yum clean rpmdb 

Cleaning repos: rhel-x86_64-server-6 
4 rpmdb files removed 

Dos exemplos de yum clean nas tres linhas de comando precedentes, todos removemos dados em 
cache dos subdiretórios /var/cache/yum, exceto para o exemplo rpmdb. Esse comando removeuos 
arquivos db* do diretório /var/lib/rpm (recriando os arquivos de banco de dados para limpar 
qualquer problema). 

A rpmdb e urna das poucas opęóes do yum que e usada para trabalhar com o banco de dados RPM 
diretamente. Em geral, o yum e usado para manipular repositórios yum. O comando mais adequado para 
trabalhar com o banco de dados RPM local e o rpm. 

Baixando RPMs de um repositório yum 

Se quiser apenas examinar um pacote sem realmente instala-lo, voce pode usar o comando 
yumdownloader. Executar esse comando faz com que o pacote que voce nomeou seja baixado a partir 
do repositório YUM e copiado para o diretório atual. 

Por exemplo, para baixar a ultima versao do pacote de navegador Firefox do repositório YUM para o 
diretório atual, digite o seguinte: 

# yumdownloader firefox 

firefox-10.0.5.1.el6.2.x86_64.rpm 

Com o pacote RPM agora residindo em seu diretório atual, voce pode usar urna variedade de comandos 
rpm para consultar ou usar esse pacote de diferentes formas (como descrito na próxima seęao). 


Instalando, consultando e verificando software com o 
comando rpm _ 

Ha urna riqueza de informaęóes sobre os pacotes instalados no banco de dados RPM local. O comando 
rpm contem dezenas de opęóes para que voce possa encontrar informaęóes sobre cada pacote, como os 
arquivos que ele contem, quemo criou, quando foi instalado, seutamanho e muitos outros atributos. 
Como o banco de dados contem impressóes digitais (md5sums) de cada arquivo em cada pacote, ele 
pode ser consultado como RPM para descobrir se arquivos de qualquer pacote foramadulterados. 




O comando rpm ainda pode fazer a instalaęao basica e atividades de atualizaęao, embora a maioria das 
pessoas só use o rpm dessa forma quando ha um pacote residindo no diretório local, pronto para ser 
instalado. Entao, vamos pegar um em nosso diretório local para trabalhar. Digite o seguinte para baixar a 
ultima versao do pacote zsh: 

# yumdownloader zsh 

zsh-4.3.17-1.1.31-2.fcl6.noarch | 2.3 MB 00:03 

Como pacote zsh copiado para seu diretório atual, experimente alguns comandos rpm nele. 

Instalando e removendo pacotes com o comando rpm 

Para instalar um pacote como comando rpm, digite: 

# rpm -i zsh-4.3.17-1.1.31-2.fcl6.noarch.rpm 

Observe que o nome do pacote inteiro e dado para instalar com o rpm, nao apenas o nome de base do 
pacote. Se urna versao anterior do zsh estivesse instalada, voce poderia atualizar o pacote usando -U. 
Muitas vezes, as pessoas usam - he-v para obter sinais de jogo da velha impressos e urna saida mais 
detalhada durante a atualizaęao: 

4 rpm -Ulw zsh-4.3.17-1.1.31-2.fcl6.noarch.rpm 
Preparing... *#4*#**#**##*####4*#**#**= [100%] 

1:zsh 4#44#44#44#44#44#44#44#44 [100%] 

Enąuanto urna instalaęao (-i) só instalara um pacote se ele nao estiver instalado, urna atualizaęao (-U) 
instalara o pacote quer ele ja esteja instalado ou nao. Umterceiro tipo de instalaęao, chamado freshen (- 
F), instala um pacote apenas se existir urna versao anterior instalada no computador. Por exemplo: 

# rpm -Fhv *.rpm 

\bce pode usar o comando freshen anterior se estiver em um diretório que contem milhares de RPMs, 
mas voce só quer atualizar aqueles que ja estavam instalados (emuma versao anterior) em seu sistema e 
pular aqueles que ainda nao foram instalados. 

Ha algumas opęóes interessantes que voce pode adicionar a qualquer das suas opęóes de instalaęao. A 
opęao --replacepkgs permite a reinstalaęao de urna versao existente de um pacote (se, por exemplo, 
voce tiver excluido por engano alguns componentes) e --oldpackage permite instalar urna versao 
anterior de um pacote. 

# rpm -Uhv --replacepkgs emacs-common-23.3-9.fcl6i686.rpm 

# rpm -Uhv --oldpackage zsh-4.1.0-2.fcl6.noarch.rpm 

\bce pode remover um pacote com a opęao -e. \bce só precisa do nome de base de um pacote para 
remove-lo. Por exemplo: 



# rpm -e emacs 


O comando rpm -e emacs seria bem-sucedido porque nenhumoutro pacote depende do emacs. Mas 
ele deixaria para tras emacscommon, que foi instalado como urna dependencia para o emacs. Se voce 
tentouremover emacs-common primeiro, esse comando falharia comuma mensagem“Failed 
dependencies” (“Falha de dependencias”). 

Consultando informaęoes do rpm 

Depois que o pacote esta instalado, voce pode consultar informaęóes sobre ele. Usando a opęao -q, 
voce pode ver informaęóes sobre o pacote, incluindo urna descrięao (-qi), urna lista de arquivos (-ql), 
a documentaęao (-qd) e os arquivos de configuraęao (-qc). 

# rpm -qi zsh 

Name : zsh 

Version: 4.3.17 
Release : l.fcl6 

# rpm-ql zsh 

/bin/zsh 

/etc/skel/.zshrc 

/etc/zlogin 

/etc/zlogout 

# rpm-qd zsh 

/usr/share/doc/zsh-4.3.17/FAQ 
/usr/share/doc/zsh-4.3.17/FE ATURES 
/usr/shar e/doc/zsh-4.3.17/RE ADME 

# rpm-qc zsh 
/etc/skel/.zshrc 
/etc/zlogin 
/etc/zlogout 

Ha opęóes para consultar qualquer informaęao contida em um RPM. \bce pode encontrar o que precisa 
para um RPM ser instalado (--requires), que versao do software um pacote oferece (-- 
provides), quais Scripts sao executados antes e depois de umRPM ser instalado ouremovido (-- 
Scripts) e que mudanęas foramfeitas em umRPM (--changelog). 

# rpm -q --requires emacs-common 

/bin/sh 

/sbin/install-info 
/usr/bin/perl 


# rpm -q --provides emacs-common 



config(emacs-common) = 1:23.3-9.fcl 6 
emacs-common = 1:23.3-9.fcl 6 

# rpm -q --Scripts httpd 

# Add the "apache" user 
/usr/sbin/useradd -c "Apache" -u 48 \ 

-s /sbin/nologin -r -d /var/www apache 2> /dev/null || : 

postinstall scriptlet (using /bin/sh): 

# Register the httpd service 
/sbin/chkconfig --add httpd 

# rpm -q --changelog httpd | less 

# Mon Mar 05 2012 Jan Kałuża <jkaluza@redhat.com> - 2.2.22-2 
- fix #751591 - start httpd after network filesystems 


Nos dois exemplos anteriores, voce pode ver que os Scripts dentro do pacote httpd adicionamum 
usuario apache durante a instalaęao e ativamo servięo httpd com chkconf ig. Aopęao -- 
changelog permite ver por que foramfeitas mudanęas emcada versao do pacote. O texto fix # 
representa umerro corrigido que voce pode verificar emhttp : //bugzilla . redhat. com. 

Usando umrecurso chamado --ąueryformat, voce pode consultar as diferentes tags de informaęóes 
e gerar urna saida delas como quiser. Execute a opęao --ąuerytags para ver todas as tags que estao 
disponiveis: 

# rpm --querytags | less 

ARCH 

ARCHIVESIZE 

BASENAMES 

BUGURL 

# rpm -q binutils --queryformat "The package is %{NAME} \ 

and the release is %{RELEASE}\n" 

The package is binutils and the release is 6.fcl6 

Todas as consultas que voce fez ate agora tern sido no banco de dados RPM local. Ao adicionar -p para 
as opęóes de consulta, voce pode consultar um arquivo RPM que reside em seu diretório local. A opęao 
-p e urna ótima maneira de pesquisar um pacote que voce recebeu de alguem a firn de investigar o que 
ele e antes de instala-lo em seu sistema. 

Se voce nao tiver o pacote zsh, baixe-o agora e copie-o para seu diretório local (yumdownloader 
zsh). Entao, execute alguns comandos de consulta sobre ele. 

# rpm -qip zsh-4.3.17-1.fcl6.i686.rpm 

# rpm -qlp zsh-4.3.17-1.fcl6.i686.rpm 

# rpm -qdp zsh-4.3.17-1.fcl6.i686.rpm 



# rpm -qcp zsh-4.3.17-1.fcl6.i686.rpm 


Verificando pacotes RPM 

Usando a opęao -V, voce pode verificar os pacotes instalados em seu sistema para ver se os 
componentes foram alterados desde que os pacotes foram inicialmente instalados. Embora seja normal 
que arquivos de configuraęao mudem ao longo do tempo, nao e normal que binarios (os comandos em 
/bin, /sbin etc.) mudemapós a instalaęao. Binarios alterados sao provavelmente urna indicaęao de 
que seu sistema foi invadido. 

Nesse exemplo, vouinstalar o pacote zsh e adultera-lo. Se voce quiser tentar, juntamente comos 
exemplos, certifique-se de remover ou reinstalar o pacote depois que terminar. 

# rpm -i zsh-4.3.17-1.fcl6.i686.rpm 

# echo hello > /bin/zsh 

# rm /etc/zshrc 

# rpm -V zsh 

S . 5 . . . .T. /bin/zsh 
missing c /etc/zshrc 

Nessa saida, voce pode ver que o arquivo /bin/zsh foi adulterado e que /etc/zshrc foi removido. 
Sempre que vir urna letra ou um numero em vez de um ponto na saida de rpm -V, isso e urna indicaęao 
do que foi alterado. Letras que podem substituir os pontos (por ordem) sao as seguintes: 

S file Size differs 

M Modę differs (includes permissions and file type) 

5 MD5 sum differs 

D Device major/minor number mismatch 

L readLink(2) path mismatch 

U User ownership differs 

G Group ownership differs 

T mTime differs 

P caPabilities differ 

Esses indicadores sao da seęao Verify da pagina man rpm No meu exemplo, voce pode ver que o 
tamanho do arquivo mudou (S), a md5sum comparada com a impressao digital do arquivo mudou (5) e a 
data/hora da ultima modificaęao (T) no arquivo e diferente. 

Para restaurar o pacote ao seu estado original, use rpm com a opęao — replacepkgs, como mostrado 
a seguir. (O comando yum reinstall zsh tambemfuncionaria). Emseguida, verifique-o com -V 
novamente. O fato de nao haver nenhuma saida de -V significa que todos os arquivos voltaramao seu 
estado original. 



# rpm -i --replacepkgs zsh-4.3.17-1.fcl6.i686.rpm 

# rpm -V zsh 


Uma boa pratica e fazer backup de seubanco de dados RPM (a partir de /var/lib/rpm) e copia-lo 
para alguma midia somente leitura (como um CD). Depois, quando voce for verificar os pacotes que 
suspeita terem sido adulterados, voce sabe que nao esta comparando comumbanco de dados que tambem 
foi adulterado. 


Gerenciando software na empresa _ 

Nesse ponto, voce deve ter um bom conhecimento de como instalar, consultar, remover oumanipular 
pacotes com ferramentas graficas, o comando yum e o comando rpm. Quando voce comeęar a trabalhar 
com arquivos RPM em uma grandę empresa, precisara estender esse conhecimento. 

Recursos usados para gerenciar pacotes RPM na empresa com o Red Hat Enterprise Linux oferecem um 
pouco mais de complexidade e muito mais poder. Em vez de ter um grandę repositório de software, como 
o Fedora, o RHEL fornece implantaęao pela Red Hat NetWork, o que requer uma assinatura paga e 
direitos sobre uma variedade de canais de software (RHEL, Red Hat Enterprise Yirtualization, Red Hat 
Cluster Suitę etc.). 

Em termos de computaęao corporativa, umdos grandes beneficios do projeto de pacotes RPM e que seu 
gerenciamento pode ser automatizado. Outros esquemas de empacotamento Linux permitem fazer os 
pacotes pararem e solicitarem a voce informaęóes quando eles comeęarem a ser instalados (tais como 
pedir umlocal de diretório ouumnome de usuario). Pacotes RPM sao instalados sem interrupęao, 
oferecendo algumas das seguintes yantagens: 

■ Arquivos de kickstart — Todas as perguntas que voce responde durante uma instalaęao manuał e 

todos os pacotes que seleciona podemser adicionados emumarquivo chamado arquivo de 
kickstart. Quando voce inicia um instalador do Fedora ou do Red Hat Enterprise Linux, voce pode 
fornecer um arquivo de kickstart no prompt de inicializaęao. A partir desse ponto, o processo de 
instalaęao se desenvolve por conta própria. 

■ PXE — \foce pode configurar um servidor PXE para permitir que computadores clientes 

inicializem um kernel anaconda (instalador) e selecione um arquivo de kickstart. Um computador 
completamente embranco com uma płaca de rede que suporta inicializaęao PXE pode 
simplesmente inicializar a partir da sua płaca de rede para carregar uma nova instalaęao. Em 
outras palayras, ligue o computador e se ele encontrar a płaca de rede em sua ordem de boot, 
alguns minutos mais tarde voce pode ter um sistema novo em folha instalado, configurado de 
acordo com suas especificaęóes exatas e sem interyenęao. 

■ Servidor satelitę (Spacewalk) — Sistemas Red Hat Enterprise Linux podem ser implantados 

usando o que e chamado de Satellite Server (o projeto de código aberto e chamado Spacewalk). 
Integrados ao Satellite Server estao os mesmos recursos que voce tern na Red Hat NetWork para 
gerenciar e implantar novos sistemas e atualizaęoes. Sem se conectar diretamente, sistemas RHEL 
podem ser configurados para receber atualizaęóes de software em horarios definidos a partir do 
seryidor de satelitę. Conjuntos de pacotes chamados Errata, que corrigem problemas especificos, 




podemser rapida e automaticamente implantados nos sistemas que precisamdeles. 


Descrięóes de como usar arquivos de kickstart, servidores satelites e outros recursos de instalaęao 
prontos para empresas estao fora do escopo deste livro. Mas o conhecimento que voce ganhou ao 
aprender a usar o YUM e o RPM seryira como urna base solida para qualquer trabalho de instalaęao de 
software RHEL que fizer no futuro. 


Resumo 


O empacotamento de software no Fedora, no Red Hat Enterprise Linux e em sistemas relacionados e 
fornecido usando pacotes de software combase nas ferramentas RPM Package Manager (RPM). Ha 
ferramentas graficas faceis de usar, como a janela PackageKit Add/Remove Software para encontrar e 
instalar pacotes. As principais ferramentas de linha de comando incluemos comandos yum e rpm. 

Utilizando qualquer urna dessas ferramentas de gerenciamento de software, voce pode instalar, consultar, 
verificar, atualizar e remover pacotes. Voce tambempode fazer tarefas de manutenęao, como limpar os 
arquivos de cache e reconstruir o banco de dados RPM. Este capitulo descreve muitos dos recursos do 
PackageKit, YUM e RPM. 

Com o sistema instalado e os pacotes de software que voce precisa adicionados, e hora de configurar 
ainda mais seu sistema Fedora ou RHEL. Se voce espera ter varias pessoas utilizando seu sistema, sua 
próxima tarefa poderia ser adicionar e tambem gerenciar contas de usuario no sistema. O Capitulo 11 
descreve o gerenciamento de usuarios no Fedora, RHEL e outros sistemas Linux. 


Bcercicios 


Esses exercicios testam seu conhecimento para trabalhar com pacotes de software RPM no Fedora ou no 
Red Hat Enterprise Linux. Para fazer os exercicios, recomendo que voce tenha um sistema Fedora a sua 
frente e urna conexao com a internet. (A maioria dos procedimentos ira funcionar igualmente bem em um 
sistema RHEL registrado.) 

\bce precisa ser capaz de alcanęar os repositórios do Fedora (que devem ser configurados 
automaticamente). Se voce empacar, soluęóes para as tarefas sao mostradas no Apendice B (embora no 
Linux costume haver varias maneiras de fazer urna tarefa). 

1 - Pesquise o repositório YUM para localizar o pacote que fornece o comando mogrif y. 

2 - Exiba informaęóes sobre o pacote que fornece o comando mogrif y e determine qual e a 
homepage (URL) desse pacote. 

3 - Instale o pacote contendo o comando mogrif y. 

4 - Listę todos os arquivos de documentaęao contidos no pacote que fornece o comando 

mogrif y. 

5 - Examine o changelog do pacote que fornece o comando mogrif y. 





Exclua o comando mogrif y de seu sistema e verifique seu pacote no banco de dados RPM 
para ver se o comando esta realmente faltando. 

7 - Reinstale o pacote que fornece o comando mogrif y e certifique-se de que todo o pacote 
esta intacto novamente. 

8 - Baixe o pacote que fornece o comando mogrif y para seu diretório atual. 

9 - Exiba informaęóes gerais sobre o pacote que voce acabou de baixar, consultando o 
arquivoRPM do pacote no diretório atual. 

10 - Remova de seu sistema o pacote contendo o comando mogrif y. 



CAPITULO 


Gerenciando 
contas de usuario 

NESTE CAPITULO 

Trabalhando com contas de usuario 
Trabalhando com contas de grupo 
Configurando contas de usuario centralizadas 

Adicionar e gerenciar usuarios sao tarefas comuns para os administradores de sistemas Linux. Contas de 
usuario mantem fronteiras entre as pessoas que usam seus sistemas e entre os processos que sao 
executados em seus sistemas. Grupos sao urna forma de atribuir direitos ao seu sistema a varios usuarios 
de urna vez. 

Esta seęao descreve nao só como criar um novo usuario, mas tambem como criar configuraęóes 
predefinidas e arquivos para configurar o ambiente do usuario. Usando ferramentas como os comandos 
useradd e usermod, voce pode atribuir configuraędes, tais como a localizaęao de umdiretório, um 
shell padrao, um grupo padrao e valores especificos de ID de usuario e de ID de grupo. 


Criando contas de usuario 


Cada pessoa que usa o sistema Linux deve ter urna conta de usuario separada. Ter urna conta de usuario 
fornece a cada pessoa urna area para armazenar arquivos de maneira segura e um meio de adequar a 
interface com o usuario (GUI, caminho, variaveis de ambiente e assim por diante) para satisfazer a 
maneira como o usuario utiliza o computador. 

\foce pode adicionar contas de usuario a maioria dos sistemas Linux de diversas maneiras. Sistemas 
Fedora e Red Hat Enterprise Linuxusama janela User Manager (system-conf ig-users) na area 
de trabalho. A partir do Red Hat Enterprise Linux, selecione System => Administration => Users & 
Groups e digite a senha de root quando solicitado. Quando a janela aparecer, selecione o botao Add 
User. A Figura 11.1 mostra um exemplo da janela do User Manager e o pop-up Add New User. 




RA 11.1 


one contas de usuario e de grupo a partir da janela User Manager. 


Agora, voce esta pronto para comeęar a adicionar uma nova conta de usuario ao seu sistema Linux. Eis os 
campos que voce precisa preencher: 

■ User Name — O nome usado para fazer login como esse usuario. Quando voce escolher um nome 

de usuario, nao comece comumnumero (por exemplo, 26jsmith). Alemdisso, o melhor e usar no 
maximo oito letras, todas minusculas, sem caracteres de controle ou espaęos. O comando 
useradd permite usar ate 32 caracteres, mas alguns aplicativos nao podemlidar comnomes 
assimtao longos. Ferramentas como ps exibemIDs de usuario (UIDs) emvez de nomes, se os 
nomes forem muito longos. Ter usuarios nomeados como Jsmith e j smith pode causar confusao 
comprogramas (como o sendmail) que nao fazem distinęao entre maiusculas e minusculas. 

■ Fuli Name — O nome real do usuario, normalmente utilizado com letras maiusculas e minusculas, 

da mesma forma como o usuario escreveria na vida real. Tecnicamente, essa informaęao e 
armazenada no campo de comentario do arquivo passwd, mas, por convenęao, a maioria dos 
sistemas Finux e UNIX espera que esse campo armazene o nome completo de cada usuario. 

■ Password, Confirm Password — A senha deve ter pelo menos oito caracteres e conter uma mistura 

de letras maiusculas e minusculas, numeros e sinais de pontuaęao. A senha nao deve conter 
palavras reais, letras repetidas ou letras sequenciais do teclado. Como root, voce recebera um 
aviso, mas ainda pode definir a senha da maneira que quiser. Um usuario normal, tentando mudar 
uma senha mais tarde, seria restringido a seguir o conjunto de normas. 

■ Fogin Shell — O shell bash e usado por padrao. \foce pode, porem, selecionar a partir de uma lista 

de shells que estao instalados em seu sistema. O que quer que voce defina sera usado como o 
shell padrao quando o usuario fizer login ou abrir uma janela de terminal. 

■ Create home directory — Com essa caixa selecionada, um diretório e criado para o usuario se ele 

nao existir. O diretório inicial, por padrao, sera /home /usuario, emque usuario e substituido 
pelo nome de usuario. \bce pode usar umlocal diferente, mas /home e o local padrao. 

■ Create a private group for the user — Com essa caixa de seleęao marcada, o grupo principal 

atribuido a esse usuario sera um novo grupo que tern mesmo nome que o usuario (neste caso, 
mary). Outros sistemas Finux atribuem todos os usuarios a um grupo chamado users (user ID 100). 
Mas o RHEF e o Fedora usam um grupo privado dessa maneira. 

■ Specify user ID manually — Se nada for feito, o usuario recebe o próximo ID numerico. IDs de 

usuarios comeęamem 500, embora, em alguns sistemas Finux, eles comecemem 1.000. Com a 
caixa marcada, voce pode usar qualquer ID de usuario que quiser. Tenha em mente que se voce 
especificar o ID de usuario manualmente, corre o risco de duplicar IDs de usuario. (O ID do 
usuario e o valor real que o sistema usa para atribuir aos arquivos e processos associados com o 
novo usuario.) 




■ Specify group ID manually — Como ocorre com o ID de usuario, marque essa caixa para definir 
um ID de grupo esperifico ou simplesmente usar o padrao, isto e, o próximo numero de ID de 
grupo dispomvel. Da mesma maneira, especificar umID de grupo corre o risco de duplicaęao. 

Selecione OK para adicionar o usuario ao sistema. Urna entrada para a nova conta de usuario e 
adicionada ao arquivo /etc/passwd e a nova conta de grupo ao arquivo /etc/group. Descrevo 
estes mais adiante neste capitulo. Para modificar as informaęóes do usuario mais tarde ou definir 
diferentes informaęoes, clique duas vezes na conta de usuario que voce deseja alterar. Urna janela User 
Properties aparece, como a mostrada na Figura 11.2. 



RA 11.2 


fique contas de usuarios existentes na janela User Properties. 


A maioria das informaęóes que voce definiu anteriormente pode ser alterada a partir da guia User Data. 
Mas selecione a conta Info se voce quiser que a conta expire em urna data especifica ou para bloquear a 
senha de modo que, temporariamente, ninguem possa logar como o usuario. Na guia Password Info, voce 
pode definir quando urna senha expira e, assim, foręar os usuarios a alterarem suas senhas depois de um 
determinado periodo de tempo. A guia Groups permite que voce selecione caixas de seleęao para 
permitir que um usuario pertenęa a grupos diferentes. 

Tudo descrito na janela User Manager tambempode ser feito a partir da linha de comando. Apróxima 
parte deste capitulo descreve como adicionar contas de usuario a partir da linha de comando com 
useradd oualtera-las como comando usermod. 


Adicionando usuarios com o useradd 

As vezes, um sistema Linux nao vai ter um desktop disponivel para usar a janela User Manager. Outras 
vezes, voce pode achar que e mais conveniente adicionar varios usuarios de urna vez com um script de 
shell. Emambos os casos, ha comandos para que voce possa adicionar e modificar contas de usuario a 
partir da linha de comando. 

O metodo mais simples para criar umnovo usuario a partir do shell e o comando useradd. Depois de 
abrir urna janela de terminal compermissao de root, voce simplesmente invoca useradd no prompt de 
comando, com os detalhes da nova conta como parametros. 

O unico parametro necessario e o nome de login do usuario, mas voce provavelmente vai querer incluir 
alguma informaęao adicional. Cada itemde informaęóes de conta e precedido por umcódigo de opęao de 
urna unica letra comumtraęo na frente. As opęóes disponiveis para useradd incluemas seguintes: 

■ -c " comentario aqui” — Forneęa urna descrięao da nova conta de usuario. Em geral, e o nome 

completo da pessoa. Substitua comentario pelo nome da conta do usuario (-c Jake). Use aspas 
para entrar varias palavras (por exemplo, -c "Jake Jackson"). 

■ -d diretório_inicial — Defina o diretório inicial para usar com a conta. O padrao e dar o mesmo 

nome usado para login e coloca-lo em /home. Substitua diretório_inicial pelo nome do diretório 
a usar (por exemplo, -d /mnt/homes/j ake). 

■ -D — Em vez de criar urna nova conta, salve as informaęóes fornecidas como as novas 

configuraęóes padrao para todas as novas contas que forem criadas. 

■ -e data_de_expiraęao — Atribua a data de expiraęao da conta no formato AAAA-MM-DD. 

Substitua data_de_expiraęao pela data que voce quiser usar. (Por exemplo, para expirar urna 
conta em5 de maio de 2013, use -e 2 013-05-05). 




- f -1 — Defina o numero de dias após a senha expirar ate que a conta seja permanentemente 
desativada. O padrao, -1, desabilita a opęao. Configurar isso como 0 desativa a conta 
imediatamente após a senha expirar. Substitua -1 (isto e, menos um) pelo numero desejado. 

-g grupo — Configure o grupo principal (que ja deve existir no arquivo /etc/group) a que o 
novo usuario pertencera. Substitua grupo pelo nome do grupo (por exemplo, -g wheel). Sem 
essa opęao, umnovo grupo e criado como mesmo nome do usuario e esse novo grupo e usado 
como o principal do usuario. 

-G lista_de_grupos — Adicione o novo usuario a lista de grupos suplementares separada por 
virgulas fornecida (por exemplo, -G wheel, sales, tech, lunch). (Se, depois, voce usar - 
G comusermod, certifique-se de usar -aG e nao apenas -G. Se voce nao fizer isso, grupos 
suplementares existentes serao removidos e os grupos que voce fornece aqui sao os unicos 
atribuidos.) 

-k dir_esqueleto — Defina o diretório esqueleto que contem arquivos de configuraęao inicial e 
Scripts de login que devem ser copiados para o diretório inicial de um novo usuario. Esse 
parametro pode ser utilizado emconjunto coma opęao -m. Substitua dir_esqueleto pelo nome do 
diretório a usar. (Semessa opęao, o diretório /etc/skel e utilizado.) 

-m — Crie Automaticamente o diretório inicial do usuario e copie os arquivos no diretório 
esqueleto (/etc/skel) para ele. (Essa e a aęao padrao para o Fedora e o RHEL, por isso nao e 
requerida. Nao e o padrao do Ubuntu.) 

-M — Nao crie o diretório inicial do novo usuario, mesmo que o comportamento padrao seja cria- 
lo. 

-n — Desatiye o comportamento padrao de criar umnovo grupo que coincide como nome e o ID 
de usuario do novo usuario. Essa opęao esta disponiyel em sistemas Fedora e RHEL. Outros 
sistemas Linux costumamatribuir umnovo usuario ao grupo chamado users. 

-o — Use -u uid para criar urna conta de usuario que tern o mesmo UID que outro nome de 
usuario. (Isso efetivamente permite que voce tenha dois nomes de usuario diferentes, com 
autoridade sobre o mesmo conjunto de arquivos e diretórios). 

-p senha — Digite urna senha para a conta que voce esta adicionando. Ela deve ser urna senha 
criptografada. Em vez de adicionar urna senha criptografada aqui, voce pode simplesmente usar o 
comando passwd usuario depois de adicionar urna senha ao usuario. (Para gerar urna senha 
criptografada MD5, digite openssl passwd.) 

-s shell — Especifique o shell de comando a ser usado para essa conta. Substitua shell pelo shell 
de comando (por exemplo, -s /bin/csh). 

-u id_do_usuario — Especifique o numero de ID do usuario para a conta (por exemplo, -u 
7 93). Sem a opęao -u, o comportamento padrao e atribuir automaticamente o próximo numero 
disponiyel. Substitua id_do_usuario pelo numero de ID. 



Vamos criar urna conta para um novo usuario. O nome completo do usuario e Sara Green com um nome de 
login sara. Para comeęar, torne-se o usuario root e digite o seguinte comando: 

# useradd -c "Sara Green" sara 

Entao, defina a senha inicial para sara usando o comando passwd. \foce sera solicitado a digitar a senha 
duas vezes: 

# passwd sara 

Changing password for user sara. 

New password: ******* 

Retype new password: ******* 


ta 

steriscos neste exemplo representam a senha que voce digita. Nada e realmente exibido quando voce digita a 
a. Tambem tenha em mente que executar passwd como usuario root permite que voce adicione senhas curtas 
m branco que os usuarios comuns nao tern permissao para criar. 


Ao criar a conta para Sara, o comando useradd executa diversas aęóes: 

■ Le os arquivos /etc/login . def s e /etc/def ault/useradd para obter yalores padrao 

para usar ao criar contas. 

■ Verifica parametros de linha de comando para saber quais yalores padrao substituir. 

■ Cria urna entrada de novo usuario nos arquivos /etc/passwd e /etc/shadow combase em 

yalores padrao e parametros de linha de comando. 

■ Cria qualquer entrada de novo grupo no arquivo /etc/group. (O Fedora cria um grupo usando 

o nome do novo usuario.) 

■ Cria umdiretório inicial, combase no nome do usuario, no diretório /home. 

■ Copia quaisquer arquivos localizados dentro do diretório /etc/skel para o novo diretório. 

Normalmente, isso inclui Scripts de login e de inicializaęao de aplicativo. 

O exemplo anterior utiliza apenas algumas das opęóes de useradd disponiyeis. Amaioria das 
configuraęóes das contas e atribuida utilizando os yalores padrao. \bce pode definir yalores mais 
explicitamente, se quiser. Eis umexemplo que usa mais algumas opęóes para fazer isso: 

# useradd -g users -G wheel,apache -s /bin/tcsh -c "Sara Green" 
sara 


Nesse caso, useradd e instruido a tornar users o grupo primario a que sara pertence (-g), adiciona- 
la aos grupos wheel e apache e definir tcsh como seu shell de comando primario (-s). Umdiretório 
inicial em / home sob o nome do usuario (/home/sara) e criado por padrao. Essa linha de comando 






resulta na adięao de uma linha semelhante a seguinte no arquivo /etc/passwd: 


sara:x:502:507:Sara Green:/home/sara:/bin/tcsh 

Cada linha no arquivo /etc/passwd representa umunico registro de conta de usuario. Cada campo e 
separado do seguinte por umcaractere de dois-pontos (:). Aposięao do campo na sequencia determina o 
que ele e. Como voce pode ver, o nome de login e o primeiro. O campo de senha contem umx, porque, 
nesse exemplo, o arquivo de senhas sombra e usado para armazenar dados de senha criptografados (em 

/etc/shadow). 

O ID de usuario selecionado pelo useradd e 502. O ID de grupo primario e 507, o que corresponde a 
um grupo privado sara no arquivo /etc/group. O campo de comentario foi corretamente 
configurado como Sara Green, o diretório inicial foi automaticamente atribmdo como /home/sara 
e o shell de comando foi atribuido como /bin/tcsh, exatamente como especificado comas opęóes 

useradd. 

Deixando de fora muitas das opęóes (como eu fiz no primeiro exemplo de useradd), os padróes sao 
atribmdos na maioria dos casos. Por exemplo, nao usando -g sales ou-G wheel, apache, o nome 
grupo mary foi designado para o novo usuario. Alguns sistemas Linux (que nao Fedora e o RHEL) 
definemusers como o nome de grupo por padrao. Da mesma maneira, -s /bin/tcsh faz comque 
/bin/bashseja definido como o shell padrao. 

O arquivo /etc/group conteminformaęóes sobre os diferentes grupos emseu sistema Linux e os 
usuarios que pertencema eles. Grupos sao uteis para permitir que multiplos usuarios compartilhem o 
acesso aos mesmos arquivos enquanto nega acesso a outros. Eis a entrada /etc/group criada para 
sara: 

sara:x:507: 

Cada linha no arquivo de grupo contem o nome de um grupo, uma senha de grupo (normalmente 
preenchida com um x), o numero de ID de grupo associado e uma lista de usuarios nesse grupo. Por 
padrao, cada usuario e adicionado ao seu próprio grupo, comeęando com o próximo GID disponivel, 
partindo de 500. 


Configurando padróes de usuario 

O comando useradd determina os valores padrao para novas contas lendo os arquivos 
/etc/login . def s e /etc/def ault/useradd. \óce pode modificar esses padróes editando os 
arquivos manualmente comumeditor de texto padrao. Embora login . def s seja diferente em 
diferentes sistemas Linux, o que segue e um exemplo que contem muitas das configuraęóes que voce pode 
encontrar emumarquivo login, de fs: 



99959 

O 


PA55_HAX_DAY5 
PASS_MIN_DAYS 
PAS S_MIN_LEN 
PAS S_WARH_AGE 
UID_MIN 
UID_MAX 
GID_MIK 
GID_MAX 

CREATE_HOME yes 


500 


60000 

500 


60000 


Todas as linhas ativas (sem um caractere de comentario no inicio da linha) contem pares chave/valor. Por 
exemplo, a palavra-chave PASS MIN LEN e seguida de alguns espaęos embranco e o valor 5. Isso diz 
a useradd que a senha do usuario deve ter pelo menos cinco caracteres. Outras linhas permitemąue 
voce personalize o intervalo valido de numeros de ID de usuario ou de grupos atribmdos 
automaticamente. (O Fedora comeęa emUID 500; sistemas anteriores comeęam com UID 100.) Uma 
seęao de comentarios, que explica o propósito dessa palavra-chave, precede cada palavra-chave (o que 
deixei de fora aqui para economizar espaęo). Alterar umvalor padrao e tao simples quanto editar o valor 
associado a uma palavra-chave e, entao, salvar o arquivo antes de executar o comando useradd. 

Se quiser ver as outras configuraęóes padrao, voce pode encontra-las no arquivo 

/etc/def ault/useradd. Outra maneira de ver as configuraęóes padrao e digitar o comando 

useradd com a opęao -D, como segue: 

# useradd -D 

GROUP=l0 0 
HOME=/home 
INACTIVE=-1 
EXPIRE= 

SHELL=/bin/bash 

SKEL=/etc/skel 

\bce tambempode usar a opęao -D para mudar padróes. Quando executado comesse flag, useradd 
nao realmente cria uma nova conta de usuario e, em vez disso, salva as opęóes adicionalmente fornecidas 
como os novos valores padrao em /etc/def ault/useradd. Nem todas as opęóes useradd 
podemser usadas emconjunto com a opęao -D. \bce pode usar apenas as cinco opęóes listadas a seguir. 

■ -b dir_inicial_padrao — Defina o diretório padrao em que os diretórios iniciais dos 

usuarios sao criados. Substitua dir_inicial_padrao pelo nome do diretório a usar (por exemplo - 
b /garage). Normalmente, esse diretório e /home. 

■ -e data_de_expiraęao_padrao — Defina a data de expiraęao padrao em que a conta de 

usuario sera desativada. O valor data_de_expiraęao_padrao deve ser substituido por uma data 
no fermato AAAA-MM-DD (por exemplo -e 2011-10-15). 

■ -f inativo_padrao — Defina o numero de dias emque a conta esta desativada após a senha 

ter expirado. Substitua inativo_padrao por um numero que representa o numero de dias (por 
exemplo, -f 7). 

■ -g grupo_padrao — Defina o grupo padrao em que os novos usuarios serao colocados. Em 

geral, useradd cria umnovo grupo como mesmo nome e numero de ID que o usuario. Substitua 



grupo_padrao pelo nome de grupo a utilizar (por exemplo -g bears). 

■ -s shell_padrao — Defina o shell padrao para novos usuarios. Em geral, esse shell e 

/bin/bash. Substitua shell_padrao pelo caminho completo para o shell que voce deseja como 
padrao para novos usuarios (por exemplo - s /bin/ash). 

Para definir qualquer umdos padróes, forneęa a opęao -D primeiro e depois adicione os padróes que 
voce deseja configurar. Por exemplo, para configurar o local padrao do diretório inicial como 
/home/everyone e o shell padrao como /bin/tcsh, digite o seguinte: 

# useradd -D -b /home/everyone -s /bin/tcsh 

Alem de configurar os padróes do usuario, um administrador pode criar arquivos padrao que sao 
copiados para cada diretório inicial do usuario para uso. Esses arquivos podem incluir Scripts de login e 
arquivos de configuraęao de shell (como .bashrc). 

Outros comandos que sao uteis para trabalhar comcontas de usuarios incluemusermod (para modificar 
as configuraęóes de urna conta existente) e userdel (para excluir urna conta de usuario existente). 


Modificando usuarios com usermod 

O comando usermod fornece um metodo simples e direto para mudar parametros de conta. Muitas das 
opęóes disponiveis comele espelham aquelas encontradas em useradd. As opęóes que podem ser 
usadas com esse comando sao as seguintes: 

■ -c nome_de_usuario — Altere a descrięao associada com a conta de usuario. Substitua nome 

de usuario pelo nome da conta de usuario (-c j ake). Use aspas para inserir varias palavras 
(por exemplo, - c "Jake Jackson"). 

■ -d dir_inicial — Mude o diretório inicial de urna conta. O padrao e dar o mesmo nome 

usado para login e coloca-lo em home. Substitua diretório_inicial pelo nome do diretório que 
sera usado (por exemplo, -d /mnt/homes/j ake). 

■ -e data_de_expiraęao — Atribua urna nova data para a conta no formato AAAA-MM-DD. 

Substitua data_de_expiraęao pela data que voce quiser usar. (Para 15 de outubro de 2013, uso - 

e 2013-10-15) 

■ -f -1 — Altere o numero de dias em que a conta sera permanentemente desativada após a senha 

expirar. O padrao, -1, desabilita a opęao. Configurar como 0 desativa a conta imediatamente 
depois que a senha tenha expirado. Substitua -1 pelo numero desejado. 

■ -g grupo — Altere o grupo primario (como listado no arquivo /etc/group emque o usuario 

vai estar. Substitua group pelo nome do grupo (por exemplo, -g wheel). 

■ -G listajde_grupos — Defina os grupos secundarios do usuario como urna lista fornecida de 

grupos separados por yirgula. Se o usuario ja estiver em pelo menos um grupo alem do priyado 



dele, voce deve adicionar opęao -a tambem (-Ga). Se nao, o usuario pertencera apenas ao novo 
conjunto de grupos e deixara de pertencer a quaisquer grupos anteriores. 

■ -1 nome_de_login — Altere o nome de login da conta. 

■ -L — Bloqueie a conta colocando umponto de exclamaęao no inicio da senha criptografada no 

arquivo /etc/shadow. Isso bloqueia a conta, enquanto ainda permite que voce deixe a senha 
intacta (a opęao -U a desbloqueia). 

■ -m — Disponivel apenas quando -d e usado, isso faz com que o conteudo do diretório inicial do 

usuario seja copiado para o novo diretório. 

■ -o — Use apenas com - u u id para remover a restrięao de que UIDs devem ser unicos. 

■ -s shell — Especifique um shell de comando diferente a ser usado para essa conta. Substitua 

shell pelo comando de shell (por exemplo, -s bash). 

■ -u id_de_usuario — Altere o numero de ID de usuario para a conta. Substitua user id 

pelo numero de ID (por exemplo, -u 4 7 4). 

■ -U — Desbloqueia a conta de usuario (removendo o ponto de exclamaęao no inicio da senha 

criptografada). 

Os seguintes sao exemplos do comando usermod: 

# usermod -s /bin/csh chris 

# usermod -Ga sales,marketing, chris 

O primeiro exemplo muda o shell do usuario chris para o shell csh. No segundo exemplo, grupos 
suplementares sao adicionados ao usuario chris. A opęao -a (-Ga) garante que os grupos suplementares 
sejamadicionados a quaisquer grupos existentes do usuario chris. Se -a nao for utilizado, grupos 
suplementares existentes para chris sao apagados e a nova lista de grupos inclui os grupos suplementares 
unicamente atribuidos a esse usuario. 


Excluindo usuarios com userdel 

Assimcomo usermod e usado para modificar as configuraęóes de usuario e useradd e usado para 
criar usuarios, userdel e usado para remover usuarios. O comando a seguir remove o usuario chris: 

# userdel -r chris 

Aqui, o usuario chris e removido do arquivo /etc/password. Aopęao -r tambemremove o 
diretório inicial do usuario. Se voce optar por nao usar -r, como a seguir, o diretório inicial de chris nao 
e removido: 


# userdel chris 



Tenha em mente que a simples remoęao da conta do usuario nao muda nada sobre os arquivos que ele 
deixa por todo o sistema (exceto aqueles que sao excluidos quando voce usa -r). No entanto, a posse 
dos arquivos deixados para tras aparece como pertencendo ao numero de ID de usuario do proprietario 
anterior quando voce executa ls -1 nos arquivos. 

Antes de excluir o usuario, voce pode querer executar umcomando f ind para localizar todos os 
arquivos que seriam deixados para tras por ele. Depois de excluir o usuario, voce pode procurar por ID 
de usuario para encontrar arquivos deixados para tras. Eis aqui dois comandos f ind para fazer essas 
coisas: 

# find / -user chris -ls 

# find / -uid 504 -ls 

Como os arquivos que nao sao atribuidos a nenhum nome de usuario sao considerados um risco de 
seguranęa, e urna boa ideia localiza-los e atribuir-lhes urna conta de usuario real. Eis umexemplo de um 
comando find que localiza todos os arquivos no sistema de arquivos que nao estao associados a 
nenhum usuario (os arquivos sao listados por UID): 

# find / -nouser -ls 


Entendendo contas de grupo _ 

Contas do grupo sao uteis se voce quiser compartilhar umconjunto de arquivos commultiplos usuarios. 
\bce pode criar um grupo e alterar o conjunto de arquivos a serem associados com ele. O usuario root 
pode atribuir usuarios a esse grupo para que eles possamter acesso a arquivos combase na permissao do 
grupo. Considere o seguinte arquivo e diretório: 

$ ls -ld /var/salesdocs /var/salesdocs/file.txt 

drwxrwxr-x. 2 root sales 4096 Jan 14 09:32 /var/salesstuff/ 
-rw-rw-r—. 1 root sales 0 Jan 14 09:32 /var/salesstuff/file.txt 

Examinando as permissoes no diretório /var/salesdocs (rwxrwxr-x), voce ve que o segundo 
conjunto de rwx mostra que qualquer membro do grupo (sales) tern permissao para ler arquivos no 
diretório (r e read, ler), criar e excluir arquivos desse diretório (w e write, gravar) e mudar para esse 
diretório (x e execute, executar). O arquivo chamado file . txt pode ser lido e alterado pelos 
membros do grupo sales (combase no segundo rw-). 

Usando contas de grupo 

Cada usuario e atribuido a um grupo primario. No Fedora e no RHEL, por padrao, esse grupo e um novo 
grupo com o mesmo nome do usuario. Assim, se o usuario se chamar sara, o grupo atribuido a ele tambem 
seria sara. O grupo primario e indicado pelo numero no terceiro campo de cada entrada no arquivo 
/etc/passwd, por exemplo, o ID de grupo 507 aqui: 




sara:x:502:507:Sara Green:/home/sara:/bin/tcsh 

Essa entrada aponta para urna entrada no arquivo /etc/group: 
sara:x:507 : 

Vamos voltar as contas de usuario e grupo sara para exemplos. Eis alguns fatos sobre o uso de grupos: 

■ Quando sara cria um arquivo ou diretório, por padrao, ele e designado para o grupo primario de 

sara (tambem chamado sara). 

■ O usuario sara pode pertencer a zero ou mais grupos suplementares. Se sara fosse ummembro dos 

grupos nomeados sales e marketing, essas entradas poderiam parecer com o seguinte no arquivo 

/etc/group: 

sales:x:302:joe,bill,sally,sara marketing:x:303:mikę,terry,sara 

■ O usuario sara nao pode adicionar-se a um grupo suplementar e nem adicionar outro usuario ao seu 

grupo sara. Só alguem com privilegios de administrador pode atribuir usuarios aos grupos. 

■ Qualquer arquivo atribuido ao grupo sales ou marketing sera acessivel a sara com as permissóes 

de grupo e outras permissóes (o que fornecer o maior acesso). Se sara quiser criar umarquivo 
com os grupos sales ou marketing atribuidos a ela, pode usar o comando newgrp. Nesse 
exemplo, sara usa o comando newgrp para fazer sales tornar-se seu grupo primario 
temporariamente e cria umarquivo: 

[sara]$ touch filel 
[sara]$ newgrp sales 
[sara]$ touch file2 
[sara] $ ls -1 file* 

-rw-rw-r--. 1 sara sara 0 Jan 18 22:22 filel 

-rw-rw-r—. 1 sara sales 0 Jan 18 22:23 file2 [sara]$ exit 

Tambem e possivel permitir que os usuarios temporariamente se tornem um membro de um grupo com o 
comando newgrp semrealmente ser ummembro desse grupo. Para fazer isso, alguem com permissao de 
root pode usar gpasswd para definir urna senha de grupo (como gpasswd sales). Depois disso, 
qualquer usuario pode digitar newgrp sales emumshell e usar temporariamente sales como seu 
grupo primario, simplesmente digitando a senha do grupo quando solicitado. 

Criando contas de grupo 

Como o usuario root, voce pode criar novos grupos a partir da janela User Manager ou a 
partir da linha de comando com o comando groupadd. Alem disso, como observado 
anteriormente, os grupos sao criados automaticamente ąuando urna conta de usuario e 
criada. 



Numeros de identificaęao de grupo de 0 a 499 sao atribuidos a grupos administrativos especiais. Por 
exemplo, o grupo de root e associado com o GID 0. Grupos regulares comeęam em 500 para o Red Hat 
Enterprise Linux e o Fedora. Sobre os primeiros sistemas UNIX, GIDs passaramde 0 a 99. Outros 
sistemas Linux reservam os GIDs de 0 a 1000 para os grupos administrativos. 

Eis alguns exemplos de como criar uma conta de grupo como comando groupadd: 

# groupadd kings 

# groupadd -g 325 jokers 

Nos exemplos apresentados, o grupo chamado kings e criado como próximo ID de grupo disponivel. 
Depois disso, o grupo jokers e criado usando o ID de grupo 325. Alguns administradores gostamde usar 
um numero de grupo indefinido de menos de 500 para que o grupo que eles criam nao interfira nas 
denominaęóes de grupos acima de 500 (assim, os numeros de UID e GID podemcrescer em paralelo). 

Para alterar um grupo mais tarde, use o comando groupmod. Por exemplo: 

# groupmod -g 330 jokers 

# groupmod -n jacks jokers 

No primeiro exemplo, o ID de grupo de jokers e alterado para 330. No segundo, o nome jokers e alterado 
para jacks. Se quiser definir qualquer umdos grupos como grupos complementares para um usuario, voce 
pode usar o comando usermod (como descrito anteriormente neste capitulo). 


Gerenciando usuarios na empresa _ 

O metodo basico do Linux para lidar com as contas de usuario e de grupo nao mudou desde que os 
primeiros sistemas UNIX foram desenvolvidos decadas atras. Mas a medida que os sistemas Linux 
passaram a ser usados de maneiras mais complexas, funcionalidades para gerenciar usuarios, grupos e as 
permissóes associadas a eles foram adicionadas ao modelo basico de usuario/grupo para que pudesse 
ser: 


■ Mais flexivel — No modelo basico, apenas um usuario e um grupo podem ser atribuidos a cada 

arquivo. Alem disso, usuarios regulares nao tern capacidade para atribuir permissóes especificas 
a diferentes usuarios ou grupos e tern muito pouca flexibilidade na configuraęao de 
arquivos/diretórios de colaboraęao. Melhorias nesse modelo permitemque usuarios regulares 
criem diretórios especiais de colaboraęao (usando recursos como sticky bit e set GID bit). 
Usando listas de controle de acesso (ACLs), qualquer usuario tambem pode atribuir permissóes 
especificas sobre arquivos e diretórios a todos os usuarios e grupos que ele quiser. 

■ Mais centralizado — Quando voce tern apenas um computador, armazenar informaęóes de usuario 

para todos os usuarios no arquivo /etc/password provavelmente nao e uma dificuldade. Mas 
se voce precisar autenticar o mesmo conjunto de usuarios emmilhares de sistemas Linux, 
centralizar essas informaęóes pode poupar-lhe muito tempo e dor de cabeęa. O Red Hat 
Enterprise Linux inclui recursos que permitem autenticar os usuarios de seryidores LDAP ou 




servidores Microsoft Active Directories. 


As próximas seęóes descrevem como usar recursos como listas de controle de acesso (ACLs) e 
diretórios compartilhados (sticky bit e set GID bit ) a firn de fornecer maneiras poderosas de 
compartilhar seletivamente arquivos e diretórios. Entao, eu descrevo como gerenciar contas de usuario a 
partir de servidores de autenticaęao centralizada utilizando a janela Authentication Configuration. 

Definindo permissóes com listas de controle de acesso 

O recurso de lista de controle de acesso (ACL) foi criado para que os usuarios regulares pudessem 
compartilhar seus arquivos e diretórios seletivamente comoutros usuarios e grupos. Com as ACLs, um 
usuario pode permitir que outros leiam, gravem e executem arquivos e diretórios sem deixar os elementos 
do sistema de arquivos expostos ou exigir que o usuario root altere o usuario ou grupo que lhes foi 
atribuido. 

Eis algumas coisas a saber sobre ACLs: 

■ Para ACLs serem utilizadas, elas devem ser ativadas em um sistema de arquivos quando o sistema 

de arquivos e montado. 

■ No Ledora e no Red Hat Enterprise Linux, as ACLs sao ativadas automaticamente em qualquer 

sistema de arquivos criado quando o sistema e instalado. 

■ Se criar um sistema de arquivos após a instalaęao (por exemplo, quando voce adiciona um disco 

rigido), voce precisa ter certeza de que a opęao de montagem acl e usada quando o sistema de 
arquivos e montado (mais sobre isso mais adiante). 

■ Para adicionar ACLs a umarquivo, voce pode usar o comando setf acl; para ver ACLs 

definidas emumarquivo, voce pode usar o comando gett acl. 

■ Para definir ACLs em qualquer arquivo ou diretório, voce deve ser o real proprietario (usuario) 

atribuido a ele. Emoutras palavras, receber permissóes de usuario ou grupo com setf acl nao 
lhe permite mudar as ACLs definidas para esses arquivos. 

■ Como varios usuarios e grupos podem ser atribuidos a um arquivo/diretório, a permissao real que 

um usuario tern e baseada em urna uniao de todas as designaęóes de usuario/grupo a que eles 
pertencem Por exemplo, se umarquivo tivesse permissao somente de leitura (r--) para o grupo 
sales e de leitura/gravaęao/execuęao (rwx) para o grupo market, e mary pertencesse a ambos, ela 
teria permissao rwx. 


ta 

CLs nao estiverem habilitadas no sistema de arquivos que voce esta tentando usar com setf acl, consulte o 
)ilitando ACLs”, mais adiante, neste capitulo, para obter informaęóes sobre como montar um sistema de arquivos 
ACLs ativadas. 





Configurando ACLs com setfacl 

Usando o comando setfacl, voce pode modificar as permissdes (-m) ouremover permissdes ACL(- 
x). Eis umexemplo da sintaxe do comando setfacl: 

setfacl -m u:username:rwx filename 

No exemplo mostrado, a opęao modify (-m) e seguida pela letra u, indicando que voce esta configurando 
permissdes ACL para um usuario. Depois de um sinal de dois-pontos (:), voce indica o nome do usuario, 
seguido por outro sinal de dois-pontos e as permissdes que deseja atribuir. Como ocorre como comando 
chmod, voce pode atribuir permissdes de leitura (r), gravaęao (w) e/ou execuęao (x) para o usuario ou 
grupo (no exemplo, e dada a permissao rwx completa). O ultimo argumento e substituido pelo nome do 
arquivo real que voce esta modificando. 

Aseguir, alguns exemplos do usuario mary usando o comando setfacl para adicionar a permissao 
para outros usuarios e grupos emumarquivo: 

[mary]$ touch /tmp/memo.txt 
[mary]$ ls -1 /tmp/memo.txt 

-rw-rw-r—. 1 mary mary 0 Jan 21 09:27 /tmp/memo.txt 
[mary]$ setfacl -m u:bill:rw /tmp/memo.txt 
[mary]$ setfacl -m g:sales:rw /tmp/memo.txt 

No exemplo anterior, mary criouumarquivo chamado / tmp/memo . txt. Usando o comando 
setfacl, ela modificou (-m) as permissdes para o usuario chamado bill, de modo que agora ele tern 
permissdes de leitura/gravaęao (rw) sobre esse arquivo. Em seguida, ela modificou as permissdes para o 
grupo sales de modo que qualquer pessoa pertencente a esse grupo tambem teria permissdes de 
leitura/gravaęao. Olhe para a saida dels -legetfacl nesse arquivo agora: 

[mary]$ ls -1 /tmp/memo.txt 

-rw-rw-r-h 1 mary mary 0 Jan 21 09:27 /tmp/memo.txt 

[mary]$ getfacl /tmp/memo.txt 

# file: tmp/memo.txt 

# owner: mary 

# group: mary 
user::rw 
user:bill:rw 
group::rw 
group:sales:rw 
mask::rw 
other: : r— 

Apartir da saida de ls -1, observe o sinal de mais (+) na saida rw-rw-r—+. O sinal de mais indica 
que ACLs estao configuradas no arquivo, e voce sabe executar o comando getfacl para ver como as 
ACLs estao configuradas. O resultado mostra mary como proprietaria e como grupo (o mesmo que voce 



ve com ls -1), as permissdes de usuarios regulares (rw-) e as permissoes sobre as ACLs para o 
usuario bill (rw-). O mesmo e verdadeiro para as permissóes de grupo e as permissóes do grupo sales. 
Outras permissóes sao r--. 

Alinha de mascara (perto do finał do exemplo de getfacl anterior) reąuer urna discussao especial. 
Logo que voce configura as ACLs sobre um arquivo, a permissao regular de um grupo sobre ele configura 
uma mascara de permissao maxima que o usuario ou grupo de ACL pode ter sobre um arquivo. Assim, 
mesmo que voce forneęa a umindividuo mais permissóes ACL do que as permissóes do grupo permitem, 
as permissóes efetivas do individuo nao poderao exceder as permissóes do grupo. Por exemplo: 

] 


[mary]$ chmod 644 /tmp/memo.txt 
[mary]$ getfacl /tmp/memo.txt 

# file: tmp/memo.txt 

# owner: mary 

# group: mary 
user::rw- 

user:bill:rw- #effective:r-- 
group::rw- #effective:r-- 
group:sales:rw- #effective:r-- 
mask::r-- 
other::r-- 

Note, no exemplo anterior, que apesar de o usuario bill e o grupo sales terem permissóes rw-, suas 
permissóes efetivas sao r--. Entao, bill ou qualquer umem sales nao seriamcapazes de alterar o 
arquivo, a menos que mary abrisse as permissóes novamente (por exemplo, digitando chmod 664 
/tmp/memo. txt). 

Definindo ACLs padrao 

Definir ACLs padrao em um diretório permite que suas ACLs sejamherdadas. Isso significa que, quando 
os novos arquivos e diretórios sao criados no diretório, eles recebemas mesmas ACLs. Para definir uma 
permissao ACL de usuario ou grupo como o padrao, voce adiciona um d: a designaęao do usuario ou do 
grupo. Considere o seguinte exemplo: 

[mary]$ mkdir /tmp/mary 

[mary]$ setfacl -m d:g:market:rwx /tmp/mary/ 

[mary]$ getfacl /tmp/mary/ 

# file: tmp/mary/ 

# owner: mary 

# group: mary 
user::rwx 
group::rwx 
other::r-x 



default:user::rwx 

default:group::rwx 

default:group:sales:rwx 

default:group:market:rwx 

default:mask::rwx 

default:other::r-x 

Para se certificar de que a ACLpadrao funcionou, crie um subdiretório. Entao, execute getfacl 
novamente. Voce vai ver que linhas padrao sao adicionadas a user, group, maskę other, que sao 
herdadas das ACLs do diretório. 

[mary] $ mkdir /tmp/mary/test 

[mary] $ getfacl /tmp/mary/test 

# file: tmp/mary/test 

# owner: mary 

# group: mary 
user::rwx 
group::rwx 
group:sales:rwx 
group:market:rwx 
mask::rwx 
other::r-x 

default:user::rwx 

default:group::rwx 

default:group:sales:rwx 

default:group:market:rwx 

default:mask::rwx 

default:other::r-x 

Observe que quando voce cria um arquivo no diretório, as permissóes herdadas sao diferentes. Como um 
arquivo regular e criado sempermissao de execuęao, a permissao efetiva e reduzida a rw-: 

[mary@cnegus~] $ touch /tmp/mary/file.txt 
[mary@cnegus~]$ getfacl /tmp/mary/file.txt 

# file: tmp/mary/file.txt 

# owner: mary 

# group: mary 
user::rw- 
group: : 

rwx #effective:rw 

group:sales:rwx #effective:rw 

group:market:rwx #effective:rw 

mask::rw- 

other::r-- 



Habilitando ACLs 

Sistemas de arquivos Linux basicos tern apenas um usuario e um grupo designado para cada arquivo e 
diretório e nao incluem suporte a ACLs por padrao. Os tipos de sistema de arquivos Linux ext (ext2, ext3 
e ext4) podem adicionar suporte a ACLs por meio de urna opęao de montagem. Para adicionar suporte a 
ACLs, voce deve adicionar a opęao de montagem acl ao monta-la. \bce pode fazer isso de varias 
maneiras: 

■ Adicione a opęao acl ao quinto campo da linha no arquivo /etc/fstab que monta 

automaticamente o sistema de arquivos quando o sistema e inicializado. 

■ Implante a linha acl no campo Default mount options no superbloco do sistema de arquivos, de 

modo que a opęao acl seja usada se o sistema de arquivos for montado automaticamente ou 
manualmente. 

■ Adicione a opęao acl a linha de comando de montagemquando voce montar o sistema de 

arquivos manualmente como comando mount. 

Tenha emmente que em sistemas Fedora e Red Hat Enterprise Linux, voce só precisa acrescentar a opęao 
de montagem acl para os sistemas de arquivos que criar depois que o Linux foi instalado. O instalador 
anaconda automaticamente adiciona suporte ACL a cada sistema de arquivo que ele cria durante a 
instalaęao. Para verificar se a opęao acl foi adicionada a um sistema de arquivos, determine o nome do 
dispositivo associado como sistema de arquivos e execute o comando tune2f s -1 para ver as opęóes 
de montagem implantadas. Por exemplo: 

# mount | grep home 

/dev/mapper/mybox-home on /home type ext4 (rw) 

# tune2fs -1 /dev/mapper/mybox-home | grep "mount options" 

Default mount options: user_xattr acl 

Primeiro, digitei o comando mount para ver urna lista de todos os sistemas de arquivos que estao 
montados atualmente, limitando a saida com a palavra home (porque eu estava procurando sistemas de 
arquivos montados em / home). Depois que vi o nome de dispositivo do sistema de arquivos, eu o usei 
como urna opęao para tune2f s -la firn de encontrar a linha de opęóes de montagem padrao. La, pude 
ver que as opęóes de montagem user_xattr (para atributos estendidos como SELinux) e acl estavam 
ambas implantadas no superbloco do sistema de arquivos, de modo que elas seriam usadas quando o 
sistema de arquivos fosse montado. 

Se o campo Default mount options estiver embranco (como quando voce acabou de criar umnovo 
sistema de arquivos), voce pode adicionar a opęao de montagem acl usando o comando tune2 f s -o. 
Por exemplo, eu criei um sistema de arquivos em um drive USB removivel que foi designado como o 
dispositivo /dev/sdcl. Para implantar a opęao de montagem acl e verificar se ela esta la, executei 
os seguintes comandos: 


# tune2fs -o acl /dev/sdcl 

# tune2fs -1 /dev/sdcl | grep "mount options" 

Default mount options: acl 



\bce pode testar se isso funcionou remontando o sistema de arquivos e tentando usar o comando 
setfacl emumarquivo nesse sistema de arquivos. 

Uma segunda maneira de adicionar suporte aclaum sistema de arquivos e adicionar a opęao acl a 
linha no arquivo /etc/fstab que monta automaticamente o sistema de arquivos durante a 
inicializaęao. O seguinte e um exemplo de como seria uma linha que monta o sistema de arquivos ext4 
localizado no dispositivo /dev/sdcl no diretório /var/stuf f: 

/ćtev/3dcl /var/scuff ext4 acl 1 2 

Em vez da entrada padrao no quarto campo, eu adicionei acl. Se ja houver opęóes definidas nesse 
campo, adicione uma virgula após a ultima opęao e acrescente acl. Da próxima vez que o sistema de 
arquivos for montado, as ACLs estarao habilitadas. Se o sistema de arquivos ja estivesse montado, eu 
poderia digitar o comando mount a seguir como root para remontar o sistema de arquivos, usando acl 
ouquaisquer outros valores adicionados ao arquivo /etc/fstab: 

# mount -o remount /dev/sdcl 

Uma terceira maneira de adicionar suporte ACL a um sistema de arquivos e montar o sistema de arquivos 
manualmente e solicitar especificamente a opęao de montagem acl. Entao, se nao houver nenhuma 
entrada para o sistema de arquivos no arquivo /etc/fstab, depois de criar o ponto de montagem 
(/var/stuf f), digite o seguinte comando para montar o sistema de arquivos e incluir suporte ACL: 

# mount -o acl /dev/sdcl /var/stuff 

Tenha emmente que o comando mount monta o sistema de arquivos apenas temporariamente. Quando o 
sistema for reinicializado, o sistema de arquivos nao sera montado novamente, a menos que voce 
adicione uma entrada no arquivo /etc/fstab. 


Adicionando diretórios para os usuarios colaborarem 

Ha umconjunto especial de tres bits de permissao que normalmente sao ignorados quando voce usa o 
comando chmod para alterar as permissóes no sistema de arquivos. Esses bits podemdefinir permissóes 
especiais sobre comandos e diretórios. O foco desta seęao e definir os bits que ajudama criar diretórios 
para uso colaborativo. 

Como ocorre comos bits de leitura, gravaęao e execuęao para user, group e other, esses bits de 
permissao de arquivos especiais podemser definidos como comando chmod. Por exemplo, se voce 
executar chmod 7 7 5 /mnt/xyz, a permissao implicita e, na verdade, 07 7 5. Para alterar 
permissóes, voce pode substituir o numero 0 por qualquer combinaęao desses tres bits (4, 2 e 1) ou voce 
pode usar valores em vez de letras. (Consulte o Capitulo 4, “Movendo-se pelo sistema de arquivos”, se 
voce precisar lembrar como as permissóes funcionam.) As letras e os numeros sao apresentados na 
Tabela 11.1. 

Tabela 11.1 Comandos para Criar e Usar Arquivos 




me 

Valor numerico 

Valor alfabetico 

set user ID 

4 

u+s 

set group ID 

2 

g+s 

:ky bit 

1 

o+t 


Os bits nos quais voce esta interessado para a criaęao de diretórios de colaboraęao sao os bits set group 
ID (2) e sticky bit (1). Se voce estiver interessado em outros usos de bits de set user ID e set group ID, 
consulte a barra lateral “Usando os comandos de bit Set UID e Set GID”. 

Criando diretórios de colaboraęao em grupo (bit set GID) 

Ao criar um diretório set GID, todos os arquivos criados nele sao atribuldos ao grupo designado para o 
próprio diretório. A ideia e ter um diretório onde todos os membros de um grupo podem compartilhar 
arquivos, mas ainda protege-los de outros usuarios. Eis umconjunto de passos para criar um diretório de 
colaboraęao para todos os usuarios no grupo chamado sales, que eu criei: 

x - Crie um grupo para uso colaborativo: 

# groupadd -g 301 sales 

2 - Adicione alguns usuarios ao grupo que voce quer que sejamcapazes de compartilhar 
arquivos (eu usei mary): 

# usermod -aG sales mary 

3 - Crie o diretório colaborativo: 

# mkdir /mnt/salestools 


Usando os comandos de bit set UID e set GID 

Os bits set UID e set GID sao usados em arquivos executaveis especiais que permitem 
configurar comandos para serem executados de forma diferente da maioria. 
Normalmente, quando um usuario executa um comando, ele e executado com as 
permissoes do usuario. Em outras palavras, se eu executar o comando vicomo chris, 
essa instancia do comando viteria as mesmas permissoes para ler e gravar arquivos que 
o usuario chris tivesse. 

Comandos com os bits set UID ou set GID definidos sao diferentes. E o proprietario e o 
grupo designado para o comando, respectivamente, que determinam as permissoes que 
o ele tern para acessar recursos no computador. Assim, um comando set UID 
pertencente ao usuario root seria executado com as permissoes de root, um comando set 
GID pertencente ao grupo apache teria as permissoes desse grupo. 

Exemplos de aplicativos que ativam os bits set UID sao os comandos sue newgrp. Em 









ambos os casos, os comandos devem ser capazes de agir como o usuario root para 
fazer seus trabalhos. Mas, para realmente obter permissoes de root, o usuario deve 
fornecer uma senha. Voce pode dizer que suś um comando set UID bit por causa do s, 
em que o primeiro bit de execuęao (x) normalmente aparece assim: 

$ ls /bin/su 

-rwsr-xr-x. 1 root root 30092 Jan 30 07:11 su 


4 - Atribua o grupo sales ao diretório: 

# chgrp sales /mnt/salestools 

5 - Altere a permissao sobre o diretório para 2775. Isso ativa o bit set group ID (2), 
rwxcompleto para user(7), rwxpara group(7), e r-x(5) para other: 

# chmod 2775 /mnt/salestools 

6 - Torne-se mary (execute su - mary). Como mary, crie umarquivo no diretório 
compartilhado e examine as permissoes. Ao listar as permissoes, voce pode ver que o 
diretório e um diretório set GID, porque um sminusculo aparece onde a permissao de 
execuęao do grupo deve aparecer (rwxrwsr-x): 

# su - mary [mary]$ touch /mnt/salestools/test.txt 
[mary]$ ls -ld /mnt/salestools/ /mnt/salestools/test.txt 
drwxrwsr-x. 2 root sales 4096 Jan 22 14:32 /mnt/salestools/ 
-rw-rw-r--. 1 mary sales 0 Jan 22 14:32 

/mnt/salestools/test.txt 

Normalmente, um arquivo criado por mary teria o grupo mary atribuldo a ele. Mas como 
test . txtfoi criado em um diretório set group ID bit, o arquivo e atribuido ao grupo sales. 
Agora, qualquer umque pertence ao grupo sales pode ler ou gravar o arquivo, combase nas 
permissóes do grupo. 

Criando diretórios de exclusao restrita (sticky bit) 

Um diretório de exclusao restritae criado ativando o sticky bitde um diretório. O que torna um 
diretório de exclusao restrita diferente dos outros diretórios? Normalmente, se a permissao de 
gravaęao e aberta para um usuario em um arquivo ou diretório, o usuario e capaz de excluir o 
arquivo ou diretório. Mas em um diretório de exclusao restrita, a nao ser que voce seja o usuario 
root ou o proprietario do diretório, voce nunca pode excluir os arquivos de outro usuario. 

Normalmente, um diretório de exclusao restrita e usado como um lugar onde muitos usuarios 
diferentes podemcriar arquivos. Por exemplo, o diretório /tmpe de exclusao restrita: 

$ ls -ld /tmp 

drwxrwxrwt. 116 root root 36864 Jan 22 14:18 /tmp 


\bce pode ver que as permissóes estao abertas, mas em vez de um xpara o bit de execuęao de 
other, o tindica que o sticky bit esta configurado. O exemplo a seguir cria um diretório de 




exclusao restrita comumarquivo que ninguem tem permissao para gravar: 


[mary]$ mkdir /tmp/mystuff 

[mary]$ chmod 1777 /tmp/mystuff 

[mary]$ cp /etc/services /tmp/mystuff/ 

[mary]$ chmod 666 /tmp/mystuff/services 

[mary]$ ls -ld /tmp/mystuff /tmp/mystuff/services 


drwxrwxrwt. 2 mary mary 
-rw-rw-rw-. 1 mary mary 
/tmp/mystuff/services 


4096 Jan 22 15:2< 
640999 Jan 22 15 


/tmp/mystuff/ 


2 : 


Comas permissóes definidas para 11 lino diretório / tmp/mystuff, voce pode ver que todas 
as permissóes estao abertas, mas um taparece emvez do ultimo bit de execuęao. Como arquivo 
/tmp/mystuff /servicesaberto para a gravaęao, qualquer usuario pode abri-lo e alterar seu 
conteudo. Mas como o arquivo esta em um diretório sticky bit, apenas root e mary podem excluir o 
arquivo. 


Centralizando contas de usuario 


Embora a forma padrao de autenticaęao de usuarios no Linux seja verificar as informaęóes do 
usuario como arquivo /etc/passwde senhas no arquivo /etc/shadow, ha outras maneiras de 
fazer a autenticaęao. Na maioria das grandes empresas, as informaęóes de conta de usuario sao 
armazenadas em um servidor de autenticaęao centralizada, de modo que cada vez que voce instala 
umnovo sistema Linux, emvez de adicionar contas de usuario a esse sistema, voce faz o Linux 
consultar o servidor de autenticaęao quando alguem tenta fazer login. 

Tal como acontece com a autenticaęao passwd/shadow local, configurar a autenticaęao centralizada 
exige fornecer dois tipos de informaęóes: informaęóes da conta (nome de usuario, IDs de 
usuario/grupo, diretório inicial, shell padrao etc.) e metodo de autenticaęao (diferentes tipos de 
senhas criptografadas, cartóes inteligentes, leitura da retina etc.). O Linux oferece maneiras de 
configurar os tipos de informaęao. 

Como eu espero que voce um dia use suas habilidades em Linux para trabalhar em urna grandę 
instalaęao do Linux, quero apresentar o conceito de autenticaęao centralizada. Por enquanto, vou 
apenas discutir como se conectar a servidores de autenticaęao existentes (em vez de criar seus 
próprios servidores) e fazer os usuarios do sistema Linux que voce configurou autenticarem-se 
nesses tipos de servidor. 

Usando a janela Authentication Configuration 

No Fedora e no Red Hat Enterprise Linux, ha urna janela grafica para configurar a autenticaęao 
centralizada chamada Authentication Configuration. Por meio dessa janela, voce pode configurar 
onde seu sistema consegue informaęóes de conta e que tipo de metodo de autenticaęao e usado para 
verificar usuarios. Os tipos de banco de dados centralizado suportados incluem: 




■ LDAP— O Lightweight Directory Access Protocol (LDAP) e umprotocolo popular para 

fornecer servięos de diretório (como agendas telefonicas, endereęos e contas de usuario). E 
um padrao aberto que e configurado em muitos tipos de ambientes de computaęao. 

■ NIS— O NetWork Information Service (NIS) foi originalmente criado pela Sun Microsystems 

para propagar informaęóes de sistema, como contas de usuario, configuraęao de host e 
outras, entre muitos sistemas UNIX. Como o NIS passa informaędes em texto claro, a 
maioria das empresas ja utiliza os protocolos mais seguros LDAP ou Winbind para 
autenticaęao centralizada. 

■ Winbind— Selecionar Winbinda partir da janela Authentication Configuration permite 

autenticar seus usuarios contra um servidor Microsoft Active Directory (AD). Muitas 
grandes empresas estendem sua configuraęao de autenticaęao de desktop para tambem fazer 
a configuraęao de servidor usando um servidor AD. 

Para essa introduęao a configuraęao de servidores de autenticaęao centralizada, voce vai configurar 
um sistema Linux para autenticaęao contra um servidor LDAP, usando a janela Authentication 
Configuration no Red Hat Enterprise Linux. 

Para comeęar, voce precisa coletar informaęóes sobre o servięo LDAP no seu local. Isso inclui 
informaęóes sobre o banco de dados de contas e o metodo de autenticaęao: 

■ LDAP Search Base DN— Esse e o nome distinto do banco de dados LDAP utilizado para 

identificar a localizaęao dos registros de conta de usuario. Muitas vezes, o nome e 
construido a partir do nome de dominio DNS da empresa. Por exemplo, 

dc=example,dc=com. 

■ LDAP server— O nome de host do servidor LDAP. Por exemplo, 

ldap://ldap.example.com. 

■ Use TLS to encrypt connections— Com essa opęao selecionada, voce tambem deve indicar a 

localizaęao de um certificado de autoridade certificadora (AC), que sera transferido para o 
sistema local a firn de ser usado para yalidar e criptografar as comunicaęóes com o servidor 
LDAP. Certificados de Transport Layer Security (TLS) para urna organizaęao sao obtidos de 
autoridades de certificaęao, como a Verisign. Ou voce pode criar certificados 
autoassinados. 

■ Authentication method— Em vez de usar senhas MD5 regulares, escolha urna senha LDAP ou 

Kerberos como metodo de autenticaęao com LDAP. Para Kerberos, voce tambem deve 
fornecer informaęóes sobre o servidor Kerberos, o que inclui o dominio Kerberos, KDCs e 
Admin Servers. Todas essas informaęóes devem ser fornecidas pelos administradores que 
gerenciam os servidores Kerberos de sua empresa. 

Para iniciar a janela Authentication Configuration a partir de um desktop Red Hat Enterprise Linux 
6, selecione System => Administration => Authentication. Para um sistema padrao que só faz a 
autenticaęao (passwd/shadow) local, a janela aparece. 

Para adicionar a autenticaęao LDAP, selecione a caixa User Account Database e selecione LDAP. 
Entao, preencha as informaęóes descritas na lista itemizada anterior. 



Se o novo metodo de autenticaęao estiver configurado corretamente, voce deve ser capaz de ir para 
um shell e validar isso. Se voce souber de urna conta de usuario dispomvel no servidor LDAP, use 
o seguinte comando getent, para yerificar se a conta esta dispomvel: 

# getent passwd jsmith 

j smith:x:13599:13600:John Smith:/home/j smith:/bin/bash 

Se voce vir as informaęóes da conta, entao sabe que seu sistema foi capaz de recupera-las a partir 
do servidor LDAP. A próxima coisa a yerificar e se o metodo de autenticaęao esta funcionando 
tambem. Para isso, voce pode tentar se conectar como o usuario do console ou usando o comando 
ssh. Por exemplo: 

$ ssh jsmith@localhost 

Quando solicitado, digite o nome de usuario e a senha. Se funcionar, voce sabe que tanto as 
informaęóes de conta como as de autenticaęao que voce inseriu para seu seryidor LDAP estavam 
corretas. 

Coma autenticaęao centralizada, considere centralizar tambem o diretório inicial dos usuarios. 
Usando o automontador do Linux (seryięo autofs), voce pode configurar diretórios que sao 
automaticamente montados quando cada usuario efetua login, independentemente da maquina em que 
eles estao se logando. (Veja o Capitulo 20, “Contigurando um seryidor de arquivos NFS”, para 
obter informaęóes sobre como configurar um seryidor NFS e configurar clientes para automontagem 
a partir desse seryidor.) 


Resumo 


Ter contas de usuario separadas e o principal metodo de definięao de fronteiras seguras entre as 
pessoas que usam seu sistema Linux. Usuarios regulares normalmente podem controlar os arquivos 
e diretórios dentro de seus próprios diretórios iniciais, mas muito pouco fora desses diretórios. 

Neste capitulo, voce aprendeu a adicionar contas de usuario e de grupo, como modifica-las e ate 
como estender contas de usuario e de grupo para alem das fronteiras do arquivo 
/etc/password. \bce tambem aprendeu que a autenticaęao pode ser feita acessando seryidores 
LDAP centralizados. 

O próximo capitulo introduz outro tema basico necessario para administradores de sistemas Linux: 
como gerenciar discos. Nesse capitulo, yoce aprendera a particionar discos, adicionar sistemas de 
arquivos e monta-los, de modo que o conteudo das partięóes de disco seja acessivel para aqueles 
que utilizam o sistema. 


Bcercicios 


Use esses exercicios para testar seus conhecimentos em adicionar e gerenciar contas de usuario e 





de grupo no Linux. Essas tarefas supdem que voce esta executando um Fedora ou um Red Hat 
Enterprise Linux (embora algumas tarefas tambem funcionem em outros sistemas Linux). Se voce 
empacar, soluęóes para as tarefas sao mostradas no Apendice B (embora no Linux costume haver 
varias maneiras de fazer uma tarefa). 

x - Adicione uma conta de usuario local a seu sistema Linux que tenha o nome de usuario 
jbaxter e o nome completo John Baxter e use /bin/shcomo seu shell padrao. Deixe o 
UID ser atribuidos por padrao. Configure a senha para jbaxter como: MylNlteOut! 

2 - Crie uma conta de grupo chamada testing que use o ID de grupo 315. 

3 - Adicione jbaxter ao grupo testing e o grupo bin. 

4 - Abra um shell como jbaxter (ou uma nova sessao ou usando um shell atual) e, 
temporariamente, faęa o grupo testing ser seu grupo padrao, de modo que quando voce 
digitar touch /home/jbaxter/f ile . txt, o grupo testing seja atribuido como o 
grupo do arquivo. 

5 - Observe qual ID de usuario foi atribuido a jbaxter e entao exclua a conta do usuario 
sem excluir o diretório inicial atribuido a jbaxter. 

6 - Encontre todos os arquivos no diretório /home(e quaisquer subdiretórios) que estao 
atribuidos ao ID de usuario que, recentemente, pertencia ao usuario chamado jbaxter. 

7 - Copie o arquivo /etc/servicespara o diretório esqueleto padrao, de modo que ele 
apareęa no diretório inicial de qualquer novo usuario. Entao, adicione ao sistema um 
novo usuario chamado MJones, com o nome completo Mary Jones e um diretório inicial 
/home/maryjones. 

8 - Encontre todos os arquivos no diretório /homeque pertencem a MJones. Ha algum 
arquivo pertencente a MJones que voce nao esperava ver? 

9 - Faęa login como MJones e crie umarquivo chamado /tmp/maryfile . txt. Usando 
ACLs, atribua ao usuario binpermissoes de leitura/gravaęao sobre o arquivo. Entao, 
atribua ao grupo lppermissoes de leitura/gravaęao sobre o arquivo. 

10 Ainda como MJones, crie um diretório chamado /tmp/mydir. Usando ACLs, atribua 
permissóes padrao a esse diretório para que o usuario adm tenha permissoes de 
leitura/gravaęao/execuęao sobre ele e todos os arquivos ou diretórios criados nele. Crie 
o diretório /tmp/mydir/testing/e o arquivo /tmp/mydir/newfile . txte 
certifique-se de que o usuario adm tambem rece be u permissoes completas de 
leitura/gravaęao/execuęao. (Notę que, apesar da atribuięao da permissao rwxao 
usuario adm, a permissao efetiva sobre newf ile . txte apenas rw. O que voce 
poderia fazer para garantir que admrecebesse tambem a permissao de execuęao?) 



CAPITU^ 


Gerenciando discos e sistemas de arquivos 


NESTE CAPITULO 

Criando partięóes de disco 
Criando volumes lógicos com LVM 
Adicionando sistemas de arquivos 
Montando sistemas de arquivos 
Desmontando sistemas de arquivos 

S eu sistema operacional, aplicativos e todos os dados precisam ser mantidos em algum tipo de 

armazenamento permanente, de modo que quando voce desligar o computador, tudo ainda esteja la 
quando o computador for ligado novamente. Tradicionalmente, esse armazenamento tern sido 
fornecido por um disco rlgido de seu computador. Para organizar as informaędes sobre esse disco, ele e 
normalmente dividido em partięóes, com a maioria das partięóes recebendo urna estrutura chamada 
sistema de arquivos. 

Este capitulo descreve como trabalhar com discos rigidos. Tarefas de disco rigido incluem particionar, 
acrescentar sistemas de arquivos e gerenciar sistemas de arquivos de varias maneiras. 

Depois de cobrir partięóes basicas, descrevo como o gerenciamento de volume lógico (LVM) pode ser 
usado para tornar mais facil aumentar, reduzir e administrar sistemas de arquivos de forma mais eficiente. 


Entendendo armazenamento em disco 


As noęóes basicas de como funciona o armazenamento de dados sao as mesmas na maioria dos sistemas 
operacionais modernos. Quando voce instala o sistema operacional, o disco e dividido emuma oumais 
partięóes. Cada partięao e formatada por um sistema de arquivos. No caso do Linux, algumas das 
partięóes podem ser especialmente formatadas para elementos, tais como area de troca ( swap ), ou 
volumes fisicos LVM. 

Enquanto os discos sao usados para o armazenamento permanente, a memória de acesso aleatório (RAM) 
e a memória de troca (swap) sao usadas para armazenamento temporario. Por exemplo, quando voce 
executa um comando, ele e copiado do disco rigido para a memória RAM para que o processador do 




computador (CPU) possa acessa-lo mais rapidamente. 

Seu processador pode acessar dados muito mais rapido a partir da memória RAM do que a partir do 
disco rigido. Mas um disco e geralmente muito maior do que a RAM, e ela e muito mais cara e e apagada 
quando o computador e reiniciado. Pense em seu escritório como urna metafora para RAM e disco. Um 
disco e como um armario no qual voce armazena pastas de informaęóes de que precisa. A RAM e como 
sua mesa, na qual voce coloca a pasta de papeis enquanto a esta usando, mas a coloca de volta no 
armario quando nao esta usando mais. 

Se a RAM se encher, por estar executando muitos processos ou por umprocesso com um vazamento de 
memória, novos processos falharao se o sistema nao tiver urna maneira de estender a memória do 
sistema. E ai que urna area de troca entra em aęao. Um espaęo de troca e urna partięao do disco rigido em 
que seu computador pode “tirar” (swap out ) os dados da memória RAM que nao estao sendo usados no 
momento e, entao, “devolver” (swap in ) os dados para a memória RAM quando eles sao novamente 
necessarios. Embora seja melhor nunca exceder sua memória RAM (o desempenho cai quando voce faz a 
troca), tirar os dados da memória e melhor do que deixar os processos simplesmente falharem. 

Outra partięao especial e um gerenciador de yolumes lógicos (LVM) e volumes fisicos. \blumes fisicos 
LVM permitem criar conjuntos de espaęo de armazenamento chamados grupos de volumes. A partir 
desses grupos de yolumes, voce tern muito mais flexibilidade para aumentar e diminuir yolumes lógicos 
do que teria redimensionando partięóes de disco diretamente. 

Para Linux, pelo menos urna partięao de disco e necessaria, atribuida a raiz (/) do sistema de arquivos 
Linux inteiro. Mas e mais comum ter partięóes separadas que sao atribuidas a diretórios especificos, tais 
como /home, /var e/ou /tmp. Cada urna das partięóes esta conectada ao sistema de arquivos Linux 
maior, montando-a emumponto no sistema de arquivos onde voce quer que a partięao seja usada. 
Qualquer arquivo adicionado ao diretório do ponto de montagem de urna partięao, ou em um subdiretório, 
e armazenado na partięao. 


ta 

lavra montagem e usada para se referira aęao de conectar um sistema de arquivos de um disco rigido, unidade 
ou dispositivo de armazenamento de rede a um determinado ponto no sistema de arquivos. Essa aęao e feita 
do o comando mount, juntamente com opęóes para dizer ao comando onde o dispositivo de armazenamento 
e a qual diretório no sistema de arquivos ele deve serconectado. 


O negócio de conectar partięóes de disco ao sistema de arquivos Linux e feito de forma automatica e 
invisivel para o usuario finał. Como isso acontece? Cada partięao de disco regular criada quando voce 
instala o Linux esta associada a umnome de dispositivo. Urna entrada no arquivo /etc/fstab informa 
o nome do dispositiyo Linux de cada partięao e onde monta-lo (assimcomo outras informaęóes). A 
montagem e feita quando o sistema e inicializado. 

A maior parte deste capitulo se concentra em explicar como o disco de seu computador e particionado e 
conectado para formar seu sistema de arquivos Linux, bem como a forma de particionar discos, formatar 
sistemas de arquivos e espaęo de troca e fazer esses itens serem usados durante a inicializaęao do 
sistema. O capitulo, entao, explica como particionar e criar o sistema de arquivos manualmente. 






ndo do Windows 

i Linux, os sistemas de arquivos sao organizados de maneira diferente de como o sao em 
;temas operacionais Microsoft Windows. Em vez de letras de unidade (por exemplo, A:, B:, 
), para cada disco local, sistema de arquivos de rede, CD-ROM ou outro tipo de midia de 
mazenamento, tudo se encaixa perfeitamente na estrutura de diretórios do Linux. 

:jumas unidades sao conectadas (montadas) automaticamente no sistema de arquivos 
ando voce insere urna midia removivel. Por exemplo, urn CD pode ser montado em 
iedia/cdrom. Se a unidade nao for montada automaticamente, cabe a urn administrador 
ar urn ponto de montagem no sistema de arquivos e, entao, conectar o disco a esse ponto. 

Linux pode entender sistemas de arquivos vfat, que muitas vezes sao o formato padrao 
ando voce compra urn pen drive USB. Urn pen drive USB VFAT oferece urna boa maneira de 
mpartilhar dados entre sistemas Linux e Windows. Suporte ao kernel Linux esta disponivel 
ra sistemas de arquivos NTFS, que sao normalmente utilizados com o Windows nesses dias. 
as o NTFS muitas vezes requer a instalaęao de drivers de kernel Linux adicionais. 

jtemas de arquivo VFAT costumam ser usados quando e preciso trocar arquivos entre 
erentes tipos de sistemas operacionais. Como o VFAT era usado no MS-DOS e nos 
meiros sistemas operacionais Windows, ele oferece urn menor denominador comum para 
mpartilhar arquivos com muitos tipos de sistemas (incluindo o Linux). O NTFS e o tipo de 
;tema de arquivos mais comumente usado com modernos sistemas Microsoft Windows. 


Particionando discos rigidos _ 

O Linux fornece varias ferramentas para gerenciar suas partięóes de disco rigido. \foce precisa saber 
como particionar seu disco se quiser adicionar um disco a seu sistema ou alterar a configuraęao do disco 
existente. 

Esta seęao demonstra o particionamento de disco usando um pen drive USB removivel de 8GB e um 
disco rigido fixo. Por seguranęa, uso um pen drive USB que nao contem nenhum dado que eu queira 
manter para praticar particionamento. 


terar o particionamento pode tornar o sistema nao inicializavel! 

10 recomendo o uso do disco rigido principal de seu sistema para a pratica de 
rticionamento, porque um erro pode tornar seu sistema nao inicializavel. Mesmo se voce 
ar um pen drive USB em separado para a pratica, urna entrada errada em /etc/fstab 







de travar seu sistema na reinicializaęao. Se depois de alterar as partięoes seu sistema 
har na inicializaęao, consulte o Capitulo 21, “Solucionando problemas do Linux”, para obter 
ormaęoes sobre como corrigir o problema. 


Visualizando partięoes de disco 

Para visualizar as partięóes do disco, use o comando f disk coma opęao -1. Para RHEL 6, use -c 
(desativa o modo de compatibilidade DOS) e -u (mostra o tamanho emsetores, nao cilindros). O 
exemplo a seguir sobre o particionamento de umpen drive USB removivel de 8GB: 


t fdisk -c -u -1 /dev/sdc 

Disk i dev7sdc: B021 MB, 8021606400 bytes 

16 heads, 48 sectors/track, 20400 cylinders, total 1566 

Units = sectors of 1 * 512 = 512 bytes 

Sercor sise (logical/physical): 512 bytes / 512 bytes 


Z/O sise (nims 

um/optimal}: 

512 bytes / 

512 bytes 


Disk ider.tifrer 

: 0xc30?2el8 




Cevice Boot 

Start 

End 

Blocks 

Id 

/dev/sdcl 

2048 

4196351 

2097152 

83 

/dev/sdc2 

4196352 

5220351 

512000 

82 

/dev/sdc3 

5220352 

7317503 

104B576 

c 

/dev/sdc4 

7317504 

15667199 

4174B4B 

e 

/dev/sdc5 

7319552 

7729151 

204600 

83 

/dev/sdc€ 

7731200 

15667199 

396B000 

8e 


7200 sectors 


System 

Limut 

Linujt swap / Solaris 

W95 FAT32 (LEAl 

E«tended 

Łimw 

ImuK LVM 


Quando essa pen drive USB e inserido, ele e atribmdo ao próximo dispositivo sd disponivel. Nesse 
exemplo, /dev/sdc e definido como o nome do dispositivo (o terceiro disco no sistema). Sua unidade 
pode receber umnome de dispositivo diferente. \foce pode ver que o pen drive USB tern 8021MB de 
tamanho e seis partięóes. Eis algumas coisas a procurar: 

■ Umdispositivo de armazenamento USB ou SCSI, representado por umdispositivo sd ? (como 

sda, sdb, sdc e assimpor diante) pode ter ate 16 dispositivos menores (por exemplo, o 
dispositivo /dev/sdc principal e /dev/sdcl a /dev/sdcl5). Assim, pode haver 15 
partięóes no total. 

■ Para computadores x86, os discos podemter ate quatro partięóes primarias. Assim, para ter mais 

de quatro partięóes no total, pelo menos urna tern de ser urna partięao estendida. Observe que 
/dev/sdc4 e urna partięao estendida que consome todo o espaęo emdisco nao utilizado pelas 
primeiras tres partięóes. Todas as partięóes depois disso sao partięóes lógicas que usamo espaęo 
da partięao estendida. 

■ O campo id indica o tipo de partięao. Observe que ha urna mistura de partięóes Linux, FAT, de 

troca e Linux LVM. 

Seuprimeiro disco primario geralmente aparece como /dev/sda. Cominstalaęóes RHELe Fedora, 
geralmente ha pelo menos urna partięao LVM, a partir da qual outras partięóes podem ser configuradas. 
Assim, a saida de fdisk pode ser tao simples como o seguinte: 


# fdisk -cul /dev/sda 

Disk /dev/sda: 500.1 GB, 500107862016 bytes 




255 heads, 63 sectors/track, 60801 cylinders, total 976773168 
sectors 

Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

I/O 9i:e (minimum/optiaal]: 512 bytes / 512 bytes 
Di.sk identi.fi.er: 0x000ebb20 

Cevice Boot Start Er.d Blocks Id System 

/dev/sdal * 2046 41164? 204800 53 Linux 

/dev/sda2 411646 976773119 460180736 :e Linux LVM 

Aprimeira partięao tem aproximadamente 200MB e esta montada no diretório /boot. O asterisco (*) na 
coluna de inicializaęao indica que a partięao e inicializayel (que e onde o kernel e outros componentes 
necessarios para inicializar o sistema sao armazenados). O restante do disco e consumido pela partięao 
LVM, que e em ultima instancia usada para criar yolumes lógicos. \bce pode descobrir mais sobre o 
LVM na seęao “Usando partięóes LVM”, mais adiante neste capitulo. 

Por enquanto, recomendo que voce nao mexa com o disco rigido intacto e encontre um pen drive USB que 
voce nao se importa de apagar. \bce pode experimentar os comandos que eu demonstro nessa unidade. 


Criando um disco de uma unica partięao 

Para adicionar uma nova midia de armazenamento (disco rigido, pen drive USB ou dispositivo similar) a 
seu computador para que ele possa ser usado pelo Linux, voce precisa primeiro conectar o dispositivo de 
disco a seu computador e, entao, particionar o disco. Eis o procedimento geral: 

1 - Instale o novo disco rigido ou insira o novo pen drive USB. 

2 - Particione o novo disco. 

3 - Crie o sistema de arquivos no novo disco. 

4 - Monte os sistemas de arquivos. 

A maneira mais facil de adicionar um disco ou pen drive ao Linux e dedicar o disco inteiro a uma unica 
partięao Linux. Mas voce pode ter varias partięóes e atribuir cada uma a diferentes tipos de sistemas de 
arquivos e diferentes pontos de montagem, se quiser. 

O processo a seguir conduz voce pelo particionamento de um pen drive USB para ser usado em sistema 
Linux que tem apenas uma partięao. Se tiver um pen drive USB (qualquer tamanho) que nao se importe de 
apagar, voce pode reproduzir esse procedimento a medida que o le. Apróxima seęao descreve como 
particionar um disco comyarias partięóes. 


nęao 

ice cometer um erro ao particionar seu disco com o fdisk, simplesmente digite q para sair sem salvar as 
ięóes. Se voce empacar no meio de uma operaęao, como a adięao de uma partięao, simplesmente complete a 
lęao e, entao, digite q depois de vero promptde comando. 


Para um pen drive USB, basta conecta-lo a uma porta USB disponiyel. Daqui para frente, 






uso um pen drive USB de 8 GB, mas voce pode usar seu próprio pen drive USB de qualquer 
tamanho. 

2 - Determine o nome do dispositivo do disco rlgido. Como usuario root de um shell, digite o 
seguinte comando taił e, entao, insira o pen drive USB. Aparecemmensagens, indicando 
o nome do dispositivo da unidade que voce acabou de conectar (pressione Ctrl+C para sair 
do comando taił quando terminar): 

# taił -f /var/log/messages 

scsi 6:0:0:0: Direct-Access S31B1102 USB DISK 1100 PQ: 0 
ANSI: 

0 CCS 

sd 6:0:0:0: Attached scsi generic sg2 type 0 
sd 6:0:0:0: [sdc] 8342528 512-byte logical blocks: (4.27 

GB/3.97 GiB) 

sd 6:0:0:0: [sdc] Write Protect is off 

sd 6:0:0:0: [sdc] Modę Sense: 43 00 00 00 

sd 6:0:0:0: [sdc] Assuming drive cache: write through 

sd 6:0:0:0: [sdc] Assuming drive cache: write through sdc: 

sdcl 

sd 6:0:0:0: [sdc] Assuming drive cache: write through 

sd 6:0:0:0: [sdc] Attached SCSI removable disk 

3 - Apartir da saida, voce pode ver que o pen drive USB foi encontrado e atribmdo a 
/dev/sdc. (O nome do seu dispositivo pode ser diferente!) Ele tambemcontemurna 
partięao: /dev/sdcl. Certifique-se de identificar o disco correto ouvoce pode perder 
todos os dados de discos que talvez voce queira manter! 

4 - Se o pen drive USB for montado automaticamente, desmonte-o. Na sua area de trabalho, 
clique no icone Filesystem 8.0GB que aparece e selecione Unmount. Ou, nesse caso, como 
root voce poderia, em vez disso, di gitar umount /dev/sdcl. 

5 - Use o comando fdisk para criar partiędes no disco novo. Por exemplo, se voce estiver 
formatando o terceiro disco USB, SATA ou SCSI (sdc), pode digitar o seguinte: 

# fdisk -c -u /dev/sdc 

Command (m for help): 

Agora voce esta no modo de comando fdisk, no qual pode usar o comando fdisk de urna 
unica letra configurado para trabalhar com suas partiędes. (Adicionar as opęoes -c -u 
permite que voce selecione o tamanho de cada partięao combase em setores em vez de 
cilindros). 

6 - Se voce comeęar com um novo pen drive USB, ele pode ter urna partięao que e inteiramente 
dedicada a um sistema de arquivos compativel com Windows (como VFAT). Use p para ver 
todas as partiędes e d para excluir a partięao. Eis a saida do comando quando fiz isso: 




Corjnand (a for help) : p 

Devs.ce Ecot Start Snd Błocka Id Sya^ea 

/dev/sdcl 2042 15667199 7032576 c W95 FAT32 (ŁBAI 

Cooonand (a for help): d 
Selected partition 1 

7 - Para criar uma nova partięao, digite a letra n. \bce sera solicitado a informar o tipo de 
partięao. 

8 - Escolha uma partięao estendida (e) ou primaria (p). Digite a letra p para escolher primaria. 

9 - Digite o numero da partięao. Se voce estiver criando a primeira partięao (ou para somente 
uma partięao), digite o numero 1. \tice sera solicitado a informar o primeiro setor para 
iniciar a partięao. 

10 - Selecione o numero do primeiro setor disponivel (voce pode simplesmente pressionar enter 
para escolher). \bce sera solicitado a informar o ultimo setor. 

14 Digite o tamanho da partięao. Como voce esta apenas criando uma partięao para consumir 
todo o disco, escolha o ultimo setor disponivel. Para fazer isso voce pode simplesmente 
pressionar Enter para aceitar o padrao. 

1Z Verifique se a unidade esta dividida como voce quer pressionando p. (Sua saida sera 
diferente, dependendo do tamanho de seu disco.) 

Command (m for help): p 

Device Boct Start End Błocka Id System 

/dev/sdbl 2048 15667199 7832576 83 Linux 

14 Para fazer alteraęóes na tabela de partięóes permanentemente, digite w. Isso gravara as 
alteraęóes, experimente sincroniza-las como kernel do Linuxe encerrar o fdisk. Se vir 
uma mensagem como a seguinte, nao se preocupe, voce pode corrigir isso na próxima etapa: 

WARNING: Re-reading the partition table failed with 
error 16: 

Device or resource busy. 

14 Se fdisk nao puder sincronizar a tabela de partięóes no disco com o kernel, o motivo mais 
provavel e que uma partięao do disco ainda esta montada. Desmonte a partięao e tente 
executar o seguinte comando para sincronizar a tabela de partięao do disco como kernel: 

# partprobe /dev/sdc 

Se partprobe nao funcionar, reiniciar o computador vai garantir que o disco e o kernel 
estejam em sincronia. 

14 Embora o particionamento esteja concluido, a nova partięao ainda nao esta pronta para uso. 
Para isso, voce tern de criar um sistema de arquivos na nova partięao. Para criar um sistema 
de arquivos na nova partięao do disco, use o comando mkf s. Por padrao, o comando cria 
um sistema de arquivos ext2, que e utilizavel pelo Linux. Mas na maioria dos casos, voce 
vai querer usar um sistema de arquivos de journaling (como ext3 ou ext4). Para criar 
um sistema de arquivos ext4 na primeira partięao do terceiro disco rigido, digite o 
seguinte: 



# mkfs -t ext4 /dev/sdcl 


la 

pode usar outros comandos ou opęoes para esse comando, para criar tipos de sistema de arquivos. Por 
lplo, use mkfs.vfat para criar um sistema de arquivos VFAT, mkfs .msdos para DOS ou mkfs . reiserfs 
o tipo de sistema de arquivos Reiser. Voce pode querer um sistema de arquivos VFAT se quiser compartilhar 
ivos entre sistemas Linux, Windows e Mac. 


16 - Para ser capaz de usar o novo sistema de arquivos, voce precisa criar um ponto de 

montagem e monta-lo na partięao. Eis um exemplo de como fazer isso. \foce, entao, verifica 
se a montagem foi bem-sucedida. 

ł mkdir /mnt/test 

# mount /dev/sdcl /mnt/test 
if df -h /mnt/test 

Filesystem Size Used Avail Use% Mounted on 

/dev/sdcl 7.4G 17M 7.0G 1% /mnt/test 

# mount | grep sdcl 

/dev/sdol cn /mnt/test type exz4 (rw) 

O comando df mostra que /dev/sdcl esta montado em /mnt/test e que oferece cerca 
de 7,4GB de espaęo em disco. O comando mount mostra todos os sistemas de arquivos 
montados, mas aqui usei grep para mostrar que sdcl esta montado e e umtipo de sistema 
de arquivos ext4. 

Todos os arquivos ou diretórios que voce criar posteriormente no diretório /mnt/test e 
qualquer umde seus subdiretórios serao armazenados no dispositivo /dev/sdcl. 

17 ’• Quando terminar de utilizar a unidade, voce pode desmonta-la com o comando umount, 
após o qual voce pode remover a unidade com seguranęa (veja a descrięao do comando 
umount mais adiante, se esse comando falhar): 

# umount /dev/sdcl 

18. Vo C e nao costuma configurar um pen drive USB para montar automaticamente toda vez que 
inicializar o sistema, pois ele e montado automaticamente quando voce o conecta. Mas se 
decidir que quer fazer isso, edite /etc/fstabe adicione urna linha descrevendo o que e 
onde montar. Eis umexemplo de urna linha que voce pode acrescentar: 

/dev/sdcl /mnt/test ext4 defaults 0 1 

Nesse exemplo, a partięao (/dev/sdcl) esta montada no diretório /mnt/test como um 
sistema de arquivos ext4. Apalavra-chave defaults faz comque a partięao seja 
montada durante a inicializaęao. O numero 0 instrui o sistema a nao fazer backup de 
arquivos desse sistema de arquivos como comando dump (dump e raramente usado hoje 
em dia, mas o campo esta aqui). O 1 na ultima coluna indica ao sistema para verificar se ha 
erros na partięao após certo numero de montagens. 

Nesse ponto, voce tern urna partięao de disco permanentemente montada e funcionando. A próxima seęao 
descreve como particionar um disco que temvarias partięóes. 






Criando um disco de multiplas partięóes 

Agora que voce entende o processo basico de particionar um disco e de adicionar um sistema de 
arquivos e torna-lo disponivel (temporaria e permanentemente), e hora de tentar um exemplo mais 
complexo. Levando esse mesmo pen drive USB de 8GB, segui o procedimento descrito mais adiante 
nesta seęao para criar multiplas partięóes em um disco. 

Nesse procedimento, eucrio urna partięao de 500MB (sdcl e sdc2), 300MB (sdc3), 350MB (sdc5) 
e 400MB (sdc6). O dispositivo sdc4 e urna partięao estendida, que consome todo o espaęo restante do 
disco. O espaęo das partięóes sdc5 e sdc6 e tornado da partięao estendida. 

Como antes, insira o pen drive USB e determine o nome do dispositivo (no meu caso, /dev/sdc). 
Alem disso, certifique-se de desmontar as partięóes que sao montadas automaticamente quando voce 
insere o pen drive USB. 


:a 

ido voce indicar o tamanho de cada partięao, digite o sinal de mais e o numero de megabytes ou gigabytes que 
deseja atribuira partięao. Porexemplo, +1024M para criar uma partięao de 1024 megabytes ou +10G para 
partięao de 10 gigabytes. Certifique-se de lembrar do sinal de mais (+) e M ou G! Se voce esquecer o M ou G, 
sk vai pensarque voce querdizersetores e voce vai obter resultados inesperados. 


1 - Para comeęar, abra o dispositivo /dev/sdc com fdisk, exclua (somente) a primeira 
partięao e, entao, adicione seis novas partięóes. 

?* fdi.sk -cu /dev/sdc 
Corrmand (a for help} : d 
3elected partition 1 
Corr-mand (m for help} : n 
Comand action 
e entended 

p primary partition (1*4} 

P 

Partition number (1*4): 1 

First sector (2048*15667159, default 2048): 

<Entcr> 

Using default value 2048 

Last sector,+sectors or +sise(K,M,G) (2048”15€67195, default 
15667199) : 4-50011 
Corrjnand (m for help} : n 
Corrjnand action 
e entenaed 

p priaary partition (1~4) 

P 

Partition number (1-4): 2 

First sector (1026048*15667159, default 1026048): 

<Enfcer> 

Using default value 1026048 
Last sector, +sectorsor +sise 
(K,M,G>(default 15667199}:+500M 
Cormand (m for help}: n 
Command action 
e entended 

p primary partition (1*4) 

P 






Partitior. number (1“4) : 3 

First sector (2050042-15667195, default 2050046) : 

<Enter> 

Vsir.g default value 205004B 

Last sector, + sectorsor +sise (K,H,G) (...default 15667199):+300M 
Correnand (m for help} : n 
Conenana action 
e exter.ded 

p pri.rr.ary partition (1~4) 
e Selected partition 4 

First sector (2664442-15667195, default 266444B): 

<Eafcer> 

Using default value 266444B 

Last sector,+sectors or + sise{K,M,G)(... default 15667195): 

<Hnter> 

Tseng default value 15667199 
Corsanand (a for help} : n 

First sector (2666456-15667199, default 2666456): 

<Ecter> 

Tseng default value 2666456 

Last sector, +sectors or +sese{K,H,G) {...default 15667199): 4-35011 

Command (a for help) : n 

First sector (...default 3365344): 

<£nter> 

Using default value 33B534 4 

Last sector, +sectors or +sise (K,M,G) (...default 15667195): 4-40011 

2 - Verifique o particionamento antes de salvar digitando p. Observe que ha cinco partięóes 
utilizaveis (sdcl, sdc2, sdc3, sdc5 e sdc6) e que os setores entre o inicio e o fimde 
sdc4 estao sendo consumidos por sdc5 e sdc6. 


C ocena na (a for 

help}: p 





Deva.ce Eooc 

Start 

End 

Blochs 

Id 

System 

/dev/sdcl 

2046 

1026047 

512000 

5 3 

Lir.ux 

/dev/sdc2 

1026046 

2050047 

512000 

22 

Lir.UK 

/dev/sdc3 

205004B 

2664447 

307200 

23 

Linux 

/dev/sdc4 

266444B 

15667195 

6501376 

5 

Entended 

/dev/sdc5 

2666496 

3383295 

358400 

23 

Linua 

/dev/sdc6 

3385344 

4204543 

409600 

23 

LinuK 


3 - O tipo de partięao padrao e Linux. Decidi que queria usar algumas das partięóes para 
espaęo de troca (type 82), FAT32 (type x) e Linux LVM (type 8e). Para fazer isso, 
digitei t e indiquei qual tipo de partięao usar. Digite L para ver urna lista de tipos de 
partięao. 

Command (m for help): t 

Partition number (1-6): 2 

Hex codę (type L to list codes): 82 

Changed system type of partition 2 to 82 (Linux swap / 
Solaris) 

Command (m for help): t 

Partition number (1-6): 5 

Hex codę (type L to list codes): c 

Changed system type of partition 5 to c (W95 FAT32 (LBA)) 

Command (m for help): t 

Partition number (1-6): 6 

Hex codę (type L to list codes): 8e 

Changed system type of partition 6 to 8e (Linux LVM) 

4 - Yerifico se a tabela de partięóes esta do jeito que quero e depois gravo as alteraęóes: 



Corjnand (m for help) : p 


Devi.ce Eoot 

Start 

End 

31ocks 

/dev/sdcl 

2046 

1026047 

512000 

/dev/sdc2 

1026046 

2050047 

512000 

Solaris 




/dev/sdc3 

2050046 

2664447 

307200 

/ dev/sdc 4 ) 

2664446 

15667199 

6501376 

/dev/sdc5 

2666496 

3383295 

356400 

/dev/sdc6 

365344 

4204543 

409600 

Corrmnand (m for 

help): w 



The partitior. 

table kas 

been alter 

ed! 


Calling ioctlO to re-read paztition tacie. 


Id System 
5 3 Lar.UK 

52 Lir.UK swap / 

53 Lir.UK 

5 Estended 
c W 9 5 FAT32 (LBA) 
5 e Lir.UK LVH 


5 - Depois que a gravaęao estiver concluida, verifique se o kernel sabe sobre as alteraędes na 
tabela de partięao. Para fazer isso, pesquise sdc em /proc/partitions. Se os novos 
dispositivos nao estiveremla, execute o comando partprobe /dev/sdc na unidade ou 
reinicie seu computador. 

♦ grep sdc /proc/partitions 


8 

32 

7333600 

sdc 

8 

33 

512000 

sdcl 

8 

34 

512000 

sdc2 

8 

35 

307200 

sdc3 

8 

36 

1 

sdc4 

8 

37 

356400 

sdcS 

8 

33 

405600 

sdcó 


6 - Embora as partiędes estejam agora definidas para diferentes tipos de conteudo, outros 
comandos sao necessarios para estruturar as partiędes em sistemas de arquivos ou areas de 
troca. Veja como fazer isso para as partiędes recem-criadas: 

■ sdcl — Para fazer isso emum sistema de arquivos Linux ext4 normal, digite o seguinte: 

# mkfs -t ext4 /dev/sdcl 

■ sdc2 — Para formatar isso como urna area de troca, digite o seguinte: 

# mkswap /dev/sdc2 

■ sdc3 — Para fazer isso emum sistema de arquivos ext2 (o padrao) digite o seguinte: 

# mkfs /dev/sdc3 

■ sdc5 — Para fazer isso emum sistema de arquivos VFAT (o padrao) digite o seguinte: 

# mkfs -t vfat /dev/sdc5 

■ sdc6 — Para fazer isso emumvolume LVM fisico digite o seguinte: 

# pvcreate /dev/sdc6 


Essas partiędes agora estao prontas para serem montadas, usadas como area de troca ou adicionadas a 
um grupo de volumes LVM. Consulte a próxima seęao, “Usando partiędes LVM”, para ver como volumes 
LVM fisicos sao usados para, em ultima instancia, criar volumes LVM lógicos a partir de grupos de 
volumes. Veja a seęao “Montando sistemas de arquivos” para descrięoes de como montar sistemas de 
arquivos e habilitar areas de troca. 


Usando partiędes LVM 


O particionamento de disco basico no Linuxtemsuas deficiencias. O que acontece se voce ficar sem 




espaęo em disco? Uma soluęao comum e copiar os dados para um disco maior, reiniciar o sistema com o 
disco novo e esperar que voce nao fique sem espaęo novamente embreve. Esse processo significa tempo 
de inatividade e ineficiencia. 

O Logical \blume Manager (LVM) oferece muita flexibilidade e eficiencia em lidar com a constante 
evoluęao das necessidades de armazenamento. Com o LVM, partięóes de discos fisicas sao adicionadas 
aos conjuntos de espaęo chamados grupos de volumes. \blumes lógicos recebem espaęo a partir de 
grupos de volumes conforme necessario. Isso lhe da a capacidade de: 

■ Adicionar mais espaęo a umvolume lógico a partir do grupo de volumes enquanto o volume ainda 

esta em uso. 

■ Adicionar mais volumes fisicos a um grupo de yolumes, se o grupo de yolumes comeęar a ficar 

sem espaęo. Os yolumes fisicos podemser de discos. 

■ Mover dados de umyolume fisico para outro, de modo que voce possa remoyer discos menores e 

substitui-los por outros maiores, enquanto os sistemas de arquivos ainda permanecem em uso — 
mais uma vez, sem tempo de inatividade. 

Com o LVM tambem e mais facil encolher sistemas de arquivos para recuperar espaęo em disco, embora 
isso exija que voce desmonte o volume lógico (mas nao e necessario reiniciar). O LVM tambem suporta 
recursos ayanęados, como espelhamento e trabalhar em clusters (grupamentos). 


Verificando uma LVM existente 


Vamos comeęar examinando um exemplo LVM existente em um sistema Red Hat Enterprise Linux. O 
comando a seguir exibe as partięóes no meu primeiro disco rigido: 


# fdisk -cul /dev/sda | grep /dev/sda 

Disk /dev/sda: 160.0 GB, 160000000000 bytes 

/dev/sdal * 2048 1026047 512000 83 Linux 

/dev/sda2 * 1026048 312493175 155736064 8e Linux LVM 


Nesse sistema RHEL, o disco rigido de 160GB esta dividido emuma partięao Linux de 500MB (sdal) 
e uma segunda partięao (Linux LVM) que consome o resto do disco (sda2). Em seguida, uso o comando 
pydisplay para ver se a partięao esta sendo usada emum grupo LYM: 


$ pydisplay /dev/ zda2 

- Physical voluae “ 

PV Nane 
VG M asie 
PV 3a.ee 
Alloeatable 
FE 3a.ee 
Total PE 
Free PE 
Alloeated PE 


/dev/sda2 
v g_abr 

146.52 GiB / not usable 
yes (but fuli) 

4.00 HiB 
33021 
0 

33021 


2.00 HiB 


PV UUID 


KlvuIv-UiI2-pNND-£39j-oHOX-9too-AOII7R 


\bce pode ver que o volume fisico LVM representado por /dev/sda2 tern 148,52GiB do espaęo, que 
foi totalmente alocado para um grupo de yolumes chamado vg_abc. Amenor unidade de armazenamento 
que pode ser usada a partir desse yolume fisico e 4,0MiB, o que e referido como uma extensao fisica 
(PE). 



srve que as ferramentas LVM mostram o espaęo em disco em MiB e GiB. Um MB e 1.000.000 bytes (10~6), 
lanto um MiB e 1.048.576 bytes (2~20). Um MIB e urna maneira mais precisa de refletir como os dados sao 
izenados em um computador. Mas as pessoas de marketing tendem a usar MB porque faz parecerque os discos 
os, CDs e DVDs que eles vendem tern mais capacidade do que realmente tern. Tenha em mente que a maioria 
ferramentas no Linux exibe dados de armazenamento em MiB e GiB, embora algumas tambem possam mostrar 
i GB. Entao, voce querver informaęoes sobre o grupo de volumes: 


t vgdisplay vj abc 

- Volune group - 

VG Marne 

vg_abc 

System ID 

Format 

lvm2 

Metadata Areas 

1 

Metadata 3equer.ce Mo 

4 

VG Access 

read/write 

VG Status 

resisable 

MAX LV 

0 

Cur LV 

3 

Open LV 

3 

Max ?V 

0 

Cur PV 

1 

Ac t rV 

1 

YG Sise 

145.52 GiB 

FE Sise 

4.00 MiE 

Total PE 

38 021 

Alloc PE / Sise 

35021 / 145.52 GiB 

Free PE / Sise 

o 

O 

YG UTJID 

c 2 3 GHH-KU 9H-wbXM-s < 


\bce pode ver que todas as 38.021 PEs foramalocadas. Usando lvdisplay da maneira a seguir, voce 
pode ver onde elas foramalocadas (eucortei parte da saida): 


t lvdisplay vj abc 

- Logirai voluae 

LV Haune 
VG Mamę 
LV UTJID 

LV Write Access 
LV Status 
4 oper. 

LV Sise 

Current LE 

Segments 

Allocation 

Read ahead sectors 

- currer.tly set to 

Elork device 

- Logiral voluae 

LV Marne 
VG Marne 


/dev/vg_abr/lv_ro ot 
vg_ab r 

33VeDc-jd01-hlCc-RMuB-tkcw-QvFi-cKC2qa 
read/wzite 
availabie 
1 

50.00 GiB 
12800 
1 

inherit 

auto 

25ć 

253:0 

/dev/vg_abr/lv_home 
vg_ab r 


LV Sise 

~— Logiral volume 
LV Marne 
VG Marne 


52.€4 GiB 

/dev/vg abr/ly sxap 
vg abr 


LV Sise 


5.88 GiB 


Ha tres volumes lógicos emprestando espaęo de vg_abc. Cada volume lógico e associado a umnome 
de dispositivo que inclui o nome do grupo de yolumes e o nome do volume lógico: 
/dev/vg_abc/lv_root (50GB), /dev/vg_abc/lv_home (92,64GB) e 
/dev/vg_abc/lv_swap (5,88GB). Outros dispositivos ligados a esses nomes estao localizados no 
diretório /dev/mapper: vg_abc-lv_home, vg_abc-lv_root e vg_abc-lv_swap. Qualquer 
conjunto de nomes pode ser usado para referenciar esses yolumes lógicos. 






Os volumes lógicos root e home sao formatados como ext4, enąuanto o volume de troca lógico e 
formatado como espaęo de troca. Vamos dar urna olhada no arquivo /etc/f stab para ver como esses 
yolumes lógicos sao utilizados: 


# grep vg /etc/fstab 
/dev/mapper/vg_abc-lv_root 

/ 

exc4 

defaults 

1 

1 

/dev/mapper/vg_abc-lv_home 

/home 

exc4 

defaulrs 

1 


/dev/mapper/vg_abc-lv_swap 

swap 

awap 

defaulos 

0 

0 


A Figura 12.1 ilustra como as diferentes partięóes, grupos de yolumes e yolumes lógicos se relacionam 
com o sistema de arquivos Linux completo. O dispositivo sdal e formatado como um sistema de 
arquivos e montado no diretório /boot. O dispositivo sda2 fornece espaęo para o grupo de yolumes 
vg_abc. Assim, yolumes lógicos lv-home e lv-root sao montados nos diretórios /home e /, 
respectiyamente. 



a 12.1 


les lógicos LVM podem ser montados como partięóes regulares em um sistema de arquivos Linux. 


Se ficar sem espaęo em qualquer um dos volumes lógicos, voce pode atribuir mais espaęo a partir do 
grupo de volumes. Se o grupo de yolumes ficar sem espaęo, voce pode adicionar outro disco rigido ou 
unidade de armazenamento de rede e adicionar espaęo a partir dessa unidade ao grupo de volumes, 
disponibilizando, assim, mais espaęo. 

Agora que voce sabe como funciona o LVM, a próxima seęao mostra como criar yolumes lógicos LVM a 
partir do zero. 


Criando volumes lógicos LVM 

\blumes lógicos LVM sao usados de cima para baixo, mas sao criados de baixo para cima. Como 
ilustrado na Figura 12.1, primeiro voce cria umoumais yolumes fisicos (pv), utiliza os yolumes fisicos 
para criar grupos de yolumes (vg) e, entao, cria yolumes lógicos a partir dos grupos de yolumes (lv). 

Os comandos para trabalhar com cada componente LVM comeęam com as letras pv, yg e lv. Por exemplo, 
pydisplay mostra yolumes fisicos, ygdisplay mostra grupos de yolumes e lvdisplay mostra 
yolumes lógicos. 

O procedimento a seguir conduz voce pelas etapas da criaęao de yolumes LVM a partir do zero. Para 
fazer esse procedimento, voce poderia usar o pen drive USB e as partięóes que descrevi no inicio deste 
capitulo. 

Obtenha um disco com algum espaęo livre e crie urna partięao de disco do tipo LVM (8e). 
Entao, utilize o comando pvcreate para identificar essa partięao como umyolume fisico 
LVM. O processo para fazer isso e descrito na seęao “Criando urna partięao de multiplos 
discos”, usando o /dev/sdc6 device daquele exemplo. 

2 - Para adicionar esse yolume fisico a um novo grupo de yolumes, use o comando 
ygcreate. O comando a seguir mostra como criar um grupo de yolumes chamado myvgO 
usando o dispositiyo /dev/sdc6: 

# vgcreate myvgO /dev/sdc6 

Volume group "myvgO" successfully created 

3 - Para ver o novo grupo de yolumes, digite o seguinte: 

% vgdisplay myvg0 

-Voluir.e grcup 

VG Name 

VG Size 
PE Size 
Total ?E 
Alloc ?E / Size 
Free PE / Size 


myvgO 

356.00 MiB 
4.00 MiB 
59 

0/0 

99 / 396.00 MiB 




4 - Da partięao de 400MiB, 396 MiB de espaęo podem ser usados emblocos de 4MiB. Veja 
como criar umvolume lógico a partir de urna parte do espaęo nesse grupo de yolumes e 
entao verifique se o dispositivo para esse volume lógico existe: 

# lvcreate -n musie -L 10OM myvg0 

Logical volume "musie" created 

# ls /dev/mapper/myvgO* 

/dev/mapper/myvgO-musie 

5 - Como voce pode ver, o procedimento criou um dispositivo chamado 
/dev/mapper/myvgO-music. Esse dispositivo ja pode ser usado para colocar e 
montar um sistema de arquivos nele, assim como voce fez com partięóes regulares na 
primeira parte deste capitulo. Por exemplo: 

* mkfs -t ext4 /dev/mapper/myvgO-musie 
ł mkdir /mnt/mymusic 

* mount /dev/mapper/myvgO-musie /mnt/mymusic 
ł df -h /mnt/mymusic 

Filesystem Size Used Avail Use% Mounted on 

/dev/mapper/myvgO-inusic 97H 5.6M 67M 7% /mnt/mymusic 

6 - Tal como acontece com as partięóes regulares, os yolumes lógicos podem ser montados 
permanentemente adicionando urna entrada no arquivo /etc/f stab, por exemplo: 

/dev/mapper/myvgO-music /mnt/mymusic ext4 defaults 1 2 

Da próxima vez que voce reiniciar, o yolume lógico e automaticamente montado em /mnt/mymusic. 
(Certifique-se de desmontar o yolume lógico e remoyer essa linha se quiser remover o pen drive USB de 
seu computador.) 


Aumentando volumes lógicos LVM 

Se ficar sem espaęo emum yolume lógico, voce pode adicionar espaęo a ele, mesmo sem desmonta-lo. 
Para fazer isso, voce deve ter espaęo disponiyel no grupo de yolumes, aumentar o yolume lógico e 
aumentar o sistema de arquivos para preenche-lo. Combase no procedimento da seęao anterior, eis como 
aumentar um yolume lógico: 


1 - Obserye quanto espaęo esta atualmente no yolume lógico e depois verifique se ha espaęo 
disponiyel no grupo de yolumes do yolume lógico: 

# vgdisplay myvg0 


VG Size 
PE Size 
Total PE 
Alloc PE 
Free PE 


396.00 MiB 
4.00 MiB 
99 

25 / 100.00 MiB 
74 / 296.00 MiB 

Size Used Avail Use% Mounted on 


Size 
Size 

£ df -h /mnt/mymusic/ 

Filesystem 

/dev/mapper/myvgO-music 97M 5.6M 87M 7% /mnt/mymusic 


2 - Expanda o yolume lógico usando o comando lvextend: 


# lvextend -L +10OM /dev/mapper/myvg0-musie 

Extending logical yolume musie to 200.00 MiB 
Logical yolume musie successfully resized 



3 - Redimensione o sistema de arquivos para ajusta-lo ao novo tamanho do volume lógico: 

# res±ze2fs -p /dev/mapper/myvgO-musie 

4 - Verifique se o sistema de arquivos agora esta redimensionado para incluir o espaęo em 
disco adicional. 

* df -h /mnt/mymusic/ 

Filesystem Size Used Avail Use% Mounted on 

/dev/mapper/myvgO-music 194M 5. ćM 179M 3% /mnt/mymusic 

\bce pode ver que o sistema de arquivos tern agora mais 100MB. 


Montando sistemas de arquivos 

Agora que voce ja teve a oportunidade de brincar com o particionamento de disco e os sistemas de 
arquivos, vou dar um passo para tras e falar sobre como os sistemas de arquivos sao configurados para 
se conectarem permanentemente ao seu sistema Linux. 

A maioria das partięóes de disco rigido criadas quando voce instala o Linux sao montadas 
automaticamente para voce quando o sistema e inicializado. Quando instala o Fedora, o Ubuntu, o Red 
Hat Enterprise Linux e outros sistemas Linux, voce tern a opęao de deixar o instalador configurar 
automaticamente seu disco rigido ou criar partięóes voce próprio e indicar os pontos de montagem para 
elas. 

Quando voce inicia o Linux, normalmente todas as partięóes Linux em seu disco rigido estao listadas no 
arquivo /etc/f stab e sao montadas. Por essa razao, esta seęao descreve o que voce pode esperar 
encontrar no arquivo. Ela tambem descreve como voce pode montar outras partięóes para que se tornem 
parte de seu sistema de arquivos Linux. 

O comando mount e usado nao apenas para montar os dispositivos, mas tambem para montar outros 
tipos de sistemas de arquivos em seu sistema Linux. Por exemplo, mount pode ser usado para montar 
diretórios (pastas) sobre a rede de servidores NFS ou Samba. Ele tambem pode ser usado para montar 
sistemas de arquivos a partir de um novo disco rigido ou pen drive USB que nao esta configurado para 
automontagem. 


ta 

a adięao de recursos de montagem automatica e mudanęas na forma como a midia removivel e identificada com 
rnel Linux 2.6 (usando recursos como Udev e camada de abstraęao de hardware), voce nao precisa mais montar 
ualmente midia removivel para muitos sistemas desktop Linux. A compreensao de como montar e desmontar 
ualmente sistemas de arquivos em um servidor Linux, porem, pode ser urna habilidade muito util se voce quiser 
tar sistemas de arquivos remotos ou temporariamente montar partięóes em determinados locais. 


Sistemas de arquivos suportados 

Para ver os tipos de sistemas de arquivos que estao atualmente carregados no kernel, digite cat 







/proc/f ilesystems. A lista que se segue mostra um exemplo dos tipos de sistemas de arquivos que 
sao suportados no Finux, embora eles possam nao estar em uso no momento ou nem mesmo disponlveis 
na distribuięao Linux que voce esta usando. 


■ adf s — Sistema de arquivos de disco Acorn, que e o sistema de arquivos padrao utilizado em 

sistemas operacionais RiscOS. 

■ bef s — Sistema de arquivos usado pelo sistema operacional BeOS. 

■ btrf s — Um sistema de arquivos de “cópia na gravaęao” que implementa recursos avanęados de 

sistema de arquivos. Ele oferece tolerancia a falhas e facil administraęao. 

■ cif s — Common Internet Filesystem (CIFS), o sistema virtual de arquivos usado para acessar os 

servidores que seguema especificaęao SNIA CIFS. CIFS e urna tentativa de aperfeięoar e 
padronizar o protocolo SMB usado pelo compartilhamento de arquivos Samba e Windows. 

■ ext4 — Sucessor do popular sistema de arquivos ext3. Inclui muitas melhorias emrelaęao ao 

ext3, como suporte a volumes de ate 1 exbibyte e tamanhos de arquivo de ate 16 tebibytes. (Esse 
sistema substituiu o ext3 como sistema de arquivos padrao usado no Fedora e RHEF.). 

■ ext3 — sistemas de arquivos Ext sao os mais comuns na maioria dos sistemas Finux. O sistema 

de arquivos ext3, tambem chamado de terceiro sistema de arquivos estendido, inclui recursos de 
journaling que, emcomparaęao como ext2, melhora a capacidade de um sistema de arquivos 
para se recuperar de falhas. 

■ ext2 — O tipo de sistema de arquivos padrao para sistemas Finux antigos. Os recursos sao os 

mesmos que o ext3, exceto que o ext2 nao inclui recursos de diario. 

■ ext — Essa e a primeira versao do ext3. Ele nao e mais utilizado muito frequentemente. 

■ iso9660 — Evoluiu a partir do sistema de arquivos High Sierra (o padrao original para CD- 

ROMs). Extens5es para o padrao High Sierra (chamadas extens5es RockRidge) permitemque 
sistemas de arquivos iso9660 suportemnomes de arquivos longos e de informaęao no estilo 
UNIX (como permissóes de arquivo, propriedade e vinculos). CD-ROMs de dados costumam 
usar esse tipo de sistema de arquivos. 

■ kafs — Sistema de arquivos de cliente AFS. Usado emambientes de computaęao distribuida 

para compartilhar arquivos com clientes Finux, Windows e Macintosh. 

■ minix — Tipo de sistema de arquivos Minix, usado originalmente com a versao Minix do UNIX. 

Suporta nomes de arquivos com no maximo 30 caracteres. 

■ msdos — Um sistema de arquivos MS-DOS. \bce pode utilizar esse tipo para montar disquetes 

que vem de sistemas operacionais da Microsoft. 

■ vf at — Sistema de arquivos de FAT estendida (VFAT) da Microsoft. 

■ umsdos — Um sistema de arquivos do MS-DOS com extens5es para permitir recursos que sao 

semelhantes ao UNIX (incluindo nomes de arquivos longos). 



■ proc — Nao um sistema de arquivo real, mas sim urna interface de sistema de arquivos para o 

kernel Linux. \bce provavelmente nao vai fazer nada de especial para configurar um sistema de 
arquivos proc. Mas o ponto de montagem /proc deve ser um sistema de arquivos proc. Muitas 
empresas usam /proc para ter acesso a informaęóes do kernel do Linux. 

■ reiserf s — Sistema de arquivos ReiserFS com journaling. O ReiserFS ja foi umtipo de 

sistema de arquivos padrao comum para varias distribuięóes Linux. Mas o ext e de longe o tipo 
mais comum de sistema de arquivos usado com o Linux hoje. 

■ swap — Usado para partiędes de troca. Areas de troca sao usadas para armazenar dados 

temporariamente quando a RAM esta cheia. Os dados sao transferidos para a area de troca e 
depois transferidos de volta para a memória RAM quando sao necessarios novamente. 

■ squashf s — Tipo de sistema de arquivos compactado, somente leitura. O Squashfs e popular 

em live CDs, onde ha um espaęo limitado e urna midia somente leitura (por exemplo, um CD ou 
DVD). 

■ nf s — Tipo de sistema de arquivos NetWork Filesystem (NFS). O NFS e usado para montar 

sistemas de arquivos em Linux ou outros computadores UNIX. 

■ hpf s — Um sistema de arquivos usado para montagens somente leitura de um sistema de arquivos 

OS/2 HPFS. 

■ ncpf s — Um sistema de arquivos usado com o Novell NetWare. Sistemas de arquivos NetWare 

podemser montados emuma rede. 

■ ntf s — Sistema de arquivos Windows NT. Dependendo da distribuięao que voce tern, ele pode 

ser suportado como um sistema de arquivos somente leitura (de modo que voce pode montar e 
copiar arquivos a partir dele). 

■ af f s — Sistema de arquivos usado em computadores Amiga. 

■ uf s — Sistema de arquivos popular em sistemas operacionais Sun Microsystems (isto e, Solaris e 

SunOS). 

■ jfs — Um sistema de arquivos de 64 bits da IBM com journaling, que e relativamente leve 

levando em conta os muitos recursos que ele tern. 

■ xf s — Um sistema de arquivos de alta performance desenvolvido originalmente pela Silicon 

Graphics, que funciona muito bem com arquivos grandes. 

■ gf s2 — Um sistema de arquivos de disco compartilhado que permite que multiplas maquinas 

usem o mesmo disco compartilhado, sem passar por urna camada de sistema de arquivos de rede, 
como CIFS, NFS etc. 

Para ver a lista de sistemas de arquivos que vem com o kernel que voce esta usando, digite ls 
/lib/modules/versao_do_Jceruel/kernel/f s/. Os módulos reais sao armazenados em 
subdiretórios do diretório. A montagem de um sistema de arquivos de um tipo suportado faz com que o 
módulo de sistema de arquivos seja carregado, se ainda nao estiver carregado. 



Digite man f s para ver as descrięóes de sistemas de arquivos Linux. 


Ativando areas de troca 

A area de troca e urna area do disco que esta disponivel para Linux se o sistema ficar sem memória 
(RAM). Se sua memória RAM estiver cheia e voce tenta iniciar outro aplicativo sem urna area de troca, 
esse aplicativo falhara. Com urna area de troca, o Linux pode, temporariamente, transferir dados da RAM 
para a area de troca e depois recupera-los quando necessario. Isso afeta negativamente o desempenho, 
mas e melhor do que deixar os processos falharem Para realmente usar urna partięao de troca que voce 
criou, voce precisa ativa-la. Para fazer isso temporariamente, voce pode usar o comando swapon. Por 
exemplo: 

$ free -m 

total uaed free shared buffers 
Xem: 3625 1834 1795 0 226 

“/+ buffers/rache: 905 2723 

SKap: 4095 3995 100 

$ swapon /dev/sdc2 
# free -ca 

total uaed free shared buffers 
Hem: 3629 1834 1795 0 226 

•/+ buffers/cache: 905 2723 

Swap: 4595 4445 600 

O comando free mostra a quantidade de troca antes e depois de ativar a area de troca como comando 
swapon. Essa quantidade de troca esta disponivel imediata e temporariamente para seu sistema. Para 
tornar essa area de troca permanente, voce precisa adiciona-la a seu arquivo /etc/f stab. Eis um 
exemplo: 

/dev/sdc2 swap swap defaults 0 0 

Essa entrada indica que a area de troca em /dev/sdc2 deve ser ativada durante a inicializaęao. Como 
nao ha nenhumponto de montagempara a area de troca, o segundo campo e ajustado apenas para isso, 
assim como o tipo de partięao. 


:achea 

701 


cached 

701 


Desativando a area de troca 

Se em algum momento voce quiser desabilitar urna area de troca, pode fazer isso usando o comando 
swapof f . Voce pode fazer isso, em particular, se a area de troca nao for mais necessaria e voce quiser 
recuperar o espaęo que esta sendo consumido por um arquivo de troca ou remover um drive USB que 
esta fornecendo urna partięao troca. 

Primeiro, certifique-se de que nenhum espaęo esta sendo usado no dispositivo de troca (usando o 
comando free) e, entao, use swapof f para desligar a area de troca para que voce possa reutilizar o 
espaęo. Eis umexemplo: 

# free -m 

total used free shared buffers cached 
Mem: 3629 2433 1195 0 99 580 

-/+ buffers/cache: 1754 1874 

Swap: 4095 0 4095 

# swapoff /dev/sdc2 



Utilizando o arquivo fstab para definir sistemas de arquivos 
montaveis 

As partięóes do disco rigido de seu computador local e os sistemas de arquivos remotos que voce usa 
todos os dias estao, provavelmente, configurados para montar automaticamente quando voce inicia o 
Linux. O arquivo /etc/fstab contem definięóes para cada partięao, juntamente comopędes que 
descrevem como a partięao esta montada. Eis umexemplo de umarquivo /etc/fstab: 

t /etc/fstab 

/dev/aapper / vg_abc”lv_root / ext4 defauits 1 1 

UUZD=7rbdae4€-9389-435d-bfee-0€dd934fae28 /boot e»t4 defauits 1 2 
/dev/saapper/vg_abc~lv_ho 2 Łe /hoae ent 4 defauits 1 2 

/dev/aapper/vg_abc~lv_sxap swap swap defauits 0 0 

t Mount entri.es added later. 

/dev/sdbl /win v£at ro i 2 

192.1€8.0.27: /nfsatuff /rerr.ote nfs users,_netdev 0 0 

//192.168.0.2 8/sny a ha re /share cifs guest,_r.etdev 0 0 

i special linur. fi.lesyste:r.3 

trr.prs /dev/shzr. tmpfs defauits 0 0 

aevpts /dev/pts devpts gid=5 ,mode=62 0 0 0 

sysrs /sys sysfs defauits 0 0 

proc /proc proc defauits 0 0 

O arquivo /etc/fstab mostrado acima e de urna instalaęao de servidor Red Hat Enterprise Linux 6 
padrao, comalgumas linhas adicionadas. 

Por enquanto, voce pode ignorar as entradas tmpfs, devpts, sysfs e proc. Esses sao dispositivos 
especiais associados commemória compartilhada, janelas de terminal, informaęóes sobre o dispositivo e 
parametros do kernel, respectivamente. 

Em geral, a primeira coluna do arquivo /etc /fstab mostra o dispositivo ou compartilhamento (o que 
estiver montado), enquanto a segunda coluna mostra o ponto de montagem (onde ele esta montado). Isso e 
seguido pelo tipo de sistema de arquivos, as opęóes de montagem (ou padróes) e dois numeros (usados 
para dizer a comandos como dump e f sck o que fazer como sistema de arquivos). 

As tres primeiras entradas representam as partięóes de disco atribuidas a raiz do sistema de arquivos 
(/), o diretório /boot e o diretório /home. Todas as tres sao sistemas de arquivo ext4. Aquarta 
linha e um dispositivo de troca (usado para armazenar dados quando a RAM se esgota). Observe que os 
nomes de dispositivos para /, /home e swap comeęam, todos, com /dev/mapper. Isso ocorre 
porque eles sao volumes lógicos LVM que recebemespaęo de umconjunto de espaęo chamado grupo 
LVM (mais sobre LVM na seęao “Usando partięóes LVM”, mais adiante neste capitulo). 

A partięao /boot esta em sua própria partięao fisica, /dev/sdal. Emvezde usar /dev/sdal, 
porem, um identificador exclusivo (UUID) identifica o dispositivo. Por que usar umUUID emvez de 
/dev/sdal para identificar o dispositivo? Digamos que voce conectou umoutro disco emseu 
computador e inicializou. Provavelmente, nao vai acontecer, mas e possivel que o novo disco seja 
identificado como /dev/sda, fazendo comque o sistema procure o conteudo de /boot na primeira 
partięao desse disco. 

Para ver todas as UUIDs atribuidas a dispositivos de armazenamento em seu sistema, digite o comando 
blkid, como segue: 



# blkid 

/dev/sdal: 

UUID="78bdae46-9389-438d-bfee-06dd934fae28" TYPE="ext4" 

/dev/sda2: 

UUID="wlvuIv-Uil2-pNND-f39j-oHOX-9too-A0117R" TYPE="LVM2_member" 

/dev/mapper/vg_abc-lv_root: 

UUID="3e6f49a6-8fec-45el-90a9-38431284b689" TYPE="ext4" 

/dev/mapper/vg_abc-lv_swap: 

UUID="77662950-2cc2-4bd9-a860-34669535619d" TYPE="swap" 

/dev/mapper/vg_abc-lv_home: 

UUID="7ffbcff3~-3 6b9-4cbb-8 71d-091efbl797 90" TYPE="ext4" 

/dev/sdbl: 

SEC_TYPE="msdos" UUID="75E0-96AA" TYPE="vfat" 

Qualquer um dos nomes de dispositivo pode ser substituido pela designaęao UUID na coluna esąuerda de 
uma entrada /etc/f stab. 

Eu adicionei as próximas tres entradas em / etc/f stab para ilustrar alguns diferentes tipos de 
entradas. Conectei um disco rigido de umvelho sistema Microsoft Windows e o montei no diretório 
/win. Adicionei a opęao ro de modo a monta-lo como somente leitura. 

As duas entradas seguintes representam sistemas de arquivos remotos. No diretório /remote, o 
diretório /nfsstuffede leitura/gravaęao (rw), a partir do host no endereęo 192.168.0.27 como um 
compartilhamento NFS. No diretório /share, a participaęao do Windows chamada myshare e 
montada a partir do host em 192.168.0.28. Emambos os casos, adicionei a opęao _netdev, que diz 
para o Linux esperar a rede aparecer antes de tentar montar os compartilhamentos. (Para mais 
informaęóes sobre a montagem e compartilhamentos CIFS, NFS, consulte os capitulos 19, “Configurando 
um servidor de compartilhamento de arquivos Windows (Samba)”, e 20, “Configurando um servidor de 
arquivos NFS”, respectivamente.) 


ndo do Windows 

seęao “Utilizando o arquivo fstab para definir sistemas de arquivos montaveis” mostra a 
)ntagem de uma partięao do disco rigido a partir de um velho sistema de arquivos VFAT 
ndo usado no Windows. A maioria dos sistemas Windows hoje usa o sistema de arquivos 
'FS. O suporte para esse sistema, contudo, nao e fornecido por todos os sistemas Linux. O 
'FS e disponibilizado pelo Fedora no pacote ntfs-3g. Outro suporte a NTFS e disponibilizado 
lo projeto Linux-NTFS (http://www.linux-ntfs.org/). 


Para aj udar voce a entender o conteudo do arquivo / etc/fstab, eis o que ha emcada campo desse 





arqmvo: 


■ Campo 1 — O nome do dispositivo que representa o sistema de arquivos. Esse campo pode 

incluir a opęao LABEL ouUUID, coma qual voce pode indicar umrótulo de volume ou 
identificador universalmente unico (UUID) em vez de umnome de dispositivo. Avantagemdessa 
abordagem e que como a partięao e identificada pelo nome de volume, voce pode mover um 
volume para umnome de dispositivo diferente e nao ter de alterar o arquivo f stab. (Veja a 
descrięao do comando mkf s mais adiante na seęao “Usando o comando mkfs para criar um 
sistema de arquivos”, deste capitulo, para obter informaęóes sobre como criar e utilizar rótulos.) 

■ Campo 2 — O ponto de montagemno sistema de arquivos. O sistema de arquivos contem todos 

os dados desde o ponto de montagem para baixo na estrutura de arvore de diretórios, a menos que 
outro sistema de arquivos esteja montado em algum ponto abaixo dele. 

■ Campo 3 — O tipo de sistema de arquivos. Tipos de sistemas de arquivos validos sao descritos 

na seęao “Sistema de arquivos suportados”, anteriormente neste capitulo (embora voce só possa 
usar os tipos de sistema de arquivos para os quais drivers de kernel estao inclusos). 

■ Campo 4 — Use defaults ou urna lista de opęóes (semespaęos) separadas por virgulas que 

voce deseja usar quando a entrada for montada. Veja a pagina man do comando mount (sob a 
opęao -o para obter informaęóes sobre outras opęóes de suporte. 


:a 

lalmente, somente o usuario root tem permissao para montar um sistema de arquivos usando o comando 
nt. Mas para permitir que qualquer usuario monte um sistema de arquivos (como um sistema de arquivos em 
:D), voce podeadicionaraopęao user aocampo4doarquivo /etc/f stab. 


■ Campo 5 — O numero nesse campo indica se e necessario fazer um dump (urna cópia) do sistema 

de arquivos. 1 significa que e necessario fazer umdump do sistema de arquivos; e 0 que nao e 
necessario. (Esse campo nao e mais particularmente util porque a maioria dos administradores 
Linux usa as opęóes de backup mais sofisticadas que o comando dump. Na maioria das vezes, um 
0 e usado.) 

■ Campo 6 — O numero nesse campo indica se o sistema de arquivos indicado deve ser verificado 

com f sck quando chegar a hora de ele ser verificado: 1 significa que ele precisa ser verificado 
primeiro; 2 significa yerificar depois que todos aqueles indicados por 1 foram verificados; e 0 
significa nao verifica-lo. 

Se voce quiser saber mais sobre as opęóes de montagem, bem como outros recursos do arquivo 
/etc/f stab, ha paginas man que pode consultar, incluindo man 5 nfseman 8 mount. 

Utilizando o comando mount para montar sistemas de arquivos 

Sistemas Linux executamautomaticamente mount -a (montar todos os sistemas de arquivos) sempre 






que voce inicializa. Por essa razao, voce geralmente usa o comando mount apenas para situaęóes 
especiais. Em particular, o usuario medio ou o administrador utiliza mount de duas maneiras: 

■ Para exibir os discos, partięóes e sistemas de arquivos remotos atualmente montados 

■ Para montar temporariamente um sistema de arquivos 

Qualquer usuario pode digitar o comando mount (semopęóes) para ver quais sistemas de arquivos 
estao atualmente montados no sistema Linuxlocal. Eis umexemplo do comando mount. Ele mostra urna 
unica partięao de disco rigido (/dev/sdal) contendo a raiz (/) do sistema de arquivos e os tipos de 
sistemas de arquivos proc e devpts montados em /proc e /dev, respectivamente. 

$ mount 

/dev/sda3 on / type ext4 (rw) 

/dev/sda2 on /boot type ext4 (rw) 

/dev/sdal on /mnt/win type vfat (rw) 

/dev/proc on /proc type proc (rw) 

/dev/sys on /sys type sysfs (rw) 

/dev/devpts on /dev/pts type devpts (rw,gid=5,mode=620) 

/dev/shm on /dev/shm type tmpfs (rw) 

nonę on /proc/sys/fs/binfmt_misc type binfmt_misc (rw) 

/dev/cdrom on /media/MyOwnDVD type iso9660 (ro,nosuid,nodev) 

Tradicionalmente, os dispositivos mais comuns para montar manualmente sao midias removiveis, como 
DVDs ou CDs. Mas dependendo do tipo de desktop que voce esta usando, CDs e DVDs podem ser 
montados automaticamente quando inseridos. (Emalguns casos, aplicativos especificos tambemsao 
carregados quando a midia e inserida. Por exemplo, um leitor de musica de CD ou um editor de fotos 
pode ser iniciado quando a midia inserida contem musica ou imagens digitais.) 

Ocasionalmente, porem, voce pode achar que e util montar um sistema de arquivos manualmente. Por 
exemplo, voce quer examinar o conteudo de um disco rigido antigo para instala-lo como um segundo 
disco em seu computador. Se as partięóes do disco nao forem automaticamente montadas, voce pode 
montar partięóes a partir desse disco manualmente. Por exemplo, para montar no modo somente leitura a 
partir de urna partięao de disco sdbl que tern um antigo sistema de arquivos ext3, voce pode digitar o 
seguinte: 

# mkdir /mnt/temp 

#mount -t ext3 -o ro /dev/sdbl /mnt/tmp 

Outra razao para usar o comando mount e remontar urna partięao para mudar suas opęóes de montagem 
Digamos que voce quer remontar /dev/sdbl como leitura/gravaęao, mas nao quer desmonta-lo (talvez 
alguemo esteja usando). \tice pode usar a seguinte opęao do comando remount: 


# mount -t ext3 -o remount,rw /dev/sdbl 



Montando uma imagem de disco em loopback 

Outra forma valiosa para usar o comando mount tem a ver comimagens de disco. Se voce baixar uma 
imagem de CD ou disco flexivel a partir da internet e quiser ver o que ela contem, pode fazer isso sem 
queimar em CD ou disquete. Com a imagem em seu disco rigido, crie um ponto de montagem e use a 
opęao -o loop para monta-lo localmente. Eis umexemplo: 

# mkdir /mnt/mycdimage 

# mount -o loop whatever-i686-discl.iso /mnt/mycdimage 

Nesse exemplo, o diretório /mnt/mycdimage e criado e, entao, o arquivo de imagem de disco 
(whatever-i68 6-discl .iso) residente no diretório atual e montado nele. Agora, voce pode usar 
o comando cd para mudar para esse diretório, ver o conteudo do mesmo e copiar ou usar qualquer dos 
seus conteudos. Isso e util para imagens de CD baixadas a partir das quais voce deseja instalar o 
software sem ter de gravar a imagem em CD. \bce tambem pode compartilhar o ponto de montagem via 
NFS, assim pode instalar o software a partir de outro computador. Quando voce terminar, basta digitar 
umount /mnt/mycdimage para desmonta-lo. 

Outras opęóes de mount estao disponiveis apenas para tipos de sistemas de arquivos especificos. 
Consulte o manuał de mount para essas e outras opęóes uteis. 


Usando o comando umount 

Quando voce terminar de usar um sistema de arquivos temporario ou quiser desmontar um sistema de 
arquivos temporariamente, use o comando umount. Esse comando desconecta o sistema de arquivos a 
partir do ponto de montagem dele em seu sistema de arquivos Linux. Para usar umount, voce pode 
atribuir-lhe umnome de diretório ouumnome de dispositivo. Por exemplo: 

# umount /mnt/test 

Isso desmonta o dispositivo a partir do ponto de montagem /mnt/test. \foce tambem pode desmonta- 
lo utilizando a forma 

# umount /dev/sdbl 

Emgeral, e melhor usar o nome do diretório (/mnt/test), porque o comando umount falhara se o 
dispositivo estiver montado emmais de umlocal. (Todos os nomes de dispositivo comeęamcom /dev). 

Se voce receber a mensagem device is busy, a solicitaęao umount falhou ou porque um 
aplicatiyo tem um arquivo aberto no dispositiyo ou voce tem um shell aberto com um diretório no 
dispositivo como um diretório atual. Parę os processos oumude para um diretório fora do dispositiyo 
que voce esta tentando desmontar para a solicitaęao umount funcionar. 

Uma alternativa para desmontar um dispositiyo ocupado e a opęao -1. Com umount -1 (uma 
desmontagem lenta), a desmontagem ocorre logo que o dispositiyo nao mais estiyer ocupado. Para 



desmontar um sistema de arquivos NFS remoto que nao esta mais dispomvel (por exemplo, o servidor 
caiu), voce pode usar a opęao umount -f para foręar a desmontar o sistema de arquivos NFS. 


:a 

ferramenta muito util para descobriro que esta mantendo aberto um dispositivo que voce deseja desmontar e o 
mdo lsof. Digite lsof com o nome da partięao que voce deseja desmontar (como lsof /mnt/test). A 
3 mostra os comandos que estao segurando arquivos abertos nessa partięao. 0 comando fuser-v /mnt 
t pode ser usado da mesma maneira. 


Usando o comando mkfs para criar um sistema de 
arquivos 


\bce pode criar um sistema de arquivos para qualquer tipo de sistema de arquivos suportado em um 
disco ou partięao que voce escolher. \bce pode fazer isso como comando mkfs. Embora isso seja mais 
util para a criaęao de sistemas de arquivos em partięóes de disco rigido, voce tambem pode criar 
sistemas de arquivos empen drives USB, disquetes ou CDs regravaveis. 

Antes de criar umnovo sistema de arquivos, certifique-se de que: 

■ \bce particionou o disco como voce queria (usando o comando f disk). 

■ \bce sabe o nome correto do dispositivo ou pode apagar seu disco rigido por engano. Por 

exemplo, a primeira partięao na segunda SCSI ou pen drive USB em seu sistema e /dev/ sdbl e 
o terceiro disco e /dev/sdcl. 

■ Desmontar a partięao, se ela estiver montada antes de criar o sistema de arquivos. 

O seguinte e umexemplo do uso mkfs para criar um sistema de arquivos na primeira (e unica) partięao, 
em urna pen drive USB de 2GB localizado como terceiro disco SCSI (/dev/sdcl): 

# mkfs -t ext3 /dev/sdcl 

mke2fs 1.40.8 (13-Mar-2008) 

Warning: 256-byte inodes not usable on older Systems 
Filesystem label= 

OS type: Linux 

Błock size=4096 (log=2) 

Fragment size=4096 (log=2) 

122160 inodes, 487699 blocks 

24384 blocks (5.00%) reserved for the super user 
First data block=0 

Maximum filesystem blocks=503316480 
15 błock groups 

32768 blocks per group, 32768 fragments per group 

8144 inodes per group 

Superblock backups stored on blocks: 

32768, 98304, 163840, 229376, 294912 
Writing inode tables: done 







Creating journal (8192 blocks): done 

Writing superblocks and filesystem accounting information: done 
This filesystem will be automatically checked every 39 mounts or 
180 days, whichever comes first. Use tune2fs -c or -i to override. 

\bce pode ver as estatisticas enviadas para a saida coma formataęao feita pelo comando mkf s. O 
numero de inodes e blocos criados sao enviados para a saida, assim como o numero de blocos em cada 
grupo e os fragmentos por grupo. Um inode, que armazena metadados, como propriedade e registro de 
data/hora para cada arquivo, sera consumido por todos os arquivos e diretórios no sistema de arquivos. 
Portanto, o numero de inodes mostrados aqui limita o numero total de arquivos que voce pode criar no 
sistema de arquivos. 

Agora voce pode montar esse sistema de arquivos (mkdir /mnt/myusb ; mount /dev/sdcl 
/mnt/myusb), mudar para /mnt/usb como seu diretório atual (cd /mnt/myusb) e criar arquivos 
nele como quiser. 


Resumo 


Gerenciar sistemas de arquivos e urna parte critica da administraęao de um sistema Linux. Utilizando 
comandos como fdisk, voce pode visualizar e alterar partiędes de disco. Sistemas de arquivos podem 
ser adicionados a partiędes usando o comando mkf s. Urna vez criados, os sistemas de arquivos podem 
ser montados e desmontados usando os comandos mount e umount, respectivamente. 

Logical \folume Management (LVM) oferece urna maneira mais poderosa e flexivel de gerenciar partiędes 
de disco. Como LVM, voce pode criar conjuntos de armazenamento, chamados volumes, que permitem 
aumentar e diminuir os volumes lógicos, bem como aumentar o tamanho de seus grupos de volumes, 
adicionando mais volumes fisicos. 

Com a maioria dos fundamentos necessarios para se tornar um administrador de sistema abordados nesse 
ponto do livro, o Capitulo 13 introduz conceitos para estender essas habilidades a firn de gerenciar 
servidores de rede. Tópicos nesse capitulo incluem informaęoes sobre como instalar, gerenciar e tornar 
seguros os servidores. 


Exercicios 


Use esses exercicios para testar seus conhecimentos sobre como criar partiędes de disco, gerenciar 
volumes lógicos e trabalhar com sistemas de arquivos. \bce vai precisar de umpen drive USB que tenha 
pelo menos 1GB e que possa ser apagado para esses exercicios. 

Essas tarefas supoem que voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora 
algumas tarefas tambem funcionem em outros sistemas Linux). Se voce empacar, soluęoes para as tarefas 
sao mostrados no Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

1 - Execute um comando como root para ver o arquivo /var/log/messages e insira seu 
pen drive USB. Determine o nome do dispositivo do pen drive USB. 





2 - Execute um comando para listar a tabela de partiędes para o pen drive USB. 

3 - Apague todas as partiędes de seu pen drive USB, salve as alteraęoes e certifique-se de que 
as alteraęoes foram feitas tanto na tabela de partiędes do disco como no kernel do Linux. 

4 - Adicione tres partiędes ao pen drive USB: urna partięao Linux de 100MB, uma partięao 
troca de 200MB e uma partięao LVM de 500MB. Salve as alteraęoes. 

5 - Coloque um sistema de arquivos ext3 na partięao Linux. 

6 - Crie umponto de montagem chamado /mnt/mypart e monte a partięao Linuxnele. 

7 - Habilite a partięao de troca e ative-a de modo que nao haja espaęo de troca adicional 
imediatamente dispomvel. 

8 - Crie um grupo de volumes chamado abc a partir da partięao LVM, crie um volume lógico 
de 200MB a partir desse grupo chamado data, adicione uma partięao VFAT e depois 
monte temporariamente o volume lógico emumnovo diretório chamado /mnt/test. 
Verifique se ele foi montado com sucesso. 

9 - Aumente o volume lógico de 200MB para 300MB. 

10 - Faęa o que e necessario para remover com seguranęa o pen drive USB do computador: 
desmonte a partięao Linux, desative a partięao troca, desmonte o volume lógico e exclua o 
grupo de yolumes do pen drive USB. 
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Entendendo administraęao de servidores 


CAPITUUj 


Neste capftulo 

Administrando servidores Linux 
Comunicando-se com os servidores atraves de redes 
Configurando o registro em log local e remotamente 
Monitorando sistemas de servidores 

E mbora algumas tarefas de administraęao do sistema sejamnecessarias mesmo emumsistema 

desktop (instalar software, configurar impressoras etc.) muitas novas tarefas aparecem quando voce 
configura um sistema Linux para funcionar como um servidor. Isso e especialmente verdadeiro se o 
servidor que voce configura e tornado publico para qualquer pessoa na internet, caso em que voce pode 
ficar sobrecarregado com pedidos de caras legais, enquanto precisa estar constantemente em guarda 
contra ataques dos caras maus. 

Dezenas de diferentes tipos de servidores estao disponiveis para sistemas Linux. A maioria deles servem 
dados para clientes remotos, mas outros servem o sistema local (como aqueles que coletam mensagens de 
log ou disparam tarefas de manutenęao emhorarios agendados utilizando o recurso cron. Muitos 
servidores sao representados por processos que sao executados continuamente em segundo piano e 
respondemas solicitaęóes que vema eles. Esses processos sao referidos como processos daemon. 

Como o nome indica, servidores existem para servir. Os dados que eles servem podem incluir paginas 
web, arquivos, informaęóes de banco de dados, e-mail e muitos outros tipos de conteudo. Como um 
administrador de servidor, alguns dos desafios adicionais para suas habilidades de administraęao de 
sistema incluemos seguintes: 

■ Acesso remoto — Para usar um sistema desktop, voce costuma sentar-se a frente do seu console. 
Sistemas de servidor, por outro lado, tendema ser alojados emracks emambientes climatizados e 
fechados a sete chaves. Na maioria dos casos, depois que os computadores fisicos estao no lugar, 
a maior parte da administraęao dessas maquinas e feita utilizando ferramentas de acesso remoto. 
Muitas vezes, nao ha urna interface grafica disponivel, de modo que voce deve confiar em 
ferramentas de linha de comando para fazer coisas como login remoto, cópia remota e execuęao 
remota. As mais comuns dessas ferramentas sao construidas combase no recurso Secure Shell 
(SSH). 



■ Seguranęa diligente— Para ser util, um servidor precisa ser capaz de aceitar solicitaęóes de 

conteudo de usuarios e sistemas remotos. Ao contrario dos sistemas desktop, que podem 
simplesmente fechar todas as portas de rede que permitem a entrada de solicitaęóes de acesso, o 
servidor deve tornar-se vulneravel por permitir algum acesso a suas portas. E por isso que e 
importante, como um administrador de servidor, abrir portas para servięos que sao necessarios e 
bloquear as portas que nao sao necessarias. Vbce pode proteger servięos utilizando ferramentas 
como o iptables (firewall), TCP wrappers (para permitir e negar acesso a servięos) e 
Security Enhanced Linux (para limitar os recursos que um servięo pode acessar a partir do 
sistema local). 

■ Monitoramento continuo — Embora voce normalmente desligue um sistema laptop ou desktop 

quando nao o esta usando, servidores costumam ficar ligados dia e noite, 365 dias por ano. Como 
voce nao quer sentar-se a frente de cada servidor e continuamente monitora-lo pessoalmente, 
voce pode configurar as ferramentas para monitorar cada servidor, coletar mensagens de log e ate 
encaminhar mensagens suspeitas para urna conta de e-mail de sua escolha. \bce pode ativar 
repórteres de atividades do sistema para coletar dados continuamente sobre o uso de CPU, uso de 
memória, atividade de rede e acesso a disco. 

Neste capitulo, explico algumas das ferramentas e tecnicas basicas que voce precisa conhecer para 
administrar servidores remotos Linux. \bce aprendera a usar ferramentas SSH para acessar seu servidor 
de forma segura, transferir dados de um sistema para outro e ate mesmo carregar desktops remotos ou 
aplicativos graficos e faze-los aparecer em seu sistema local. \bce aprendera a usar o registro emlog 
remoto e relatórios de atividade do sistema para monitorar continuamente as atividades do sistema. 

Comeęando com administraęao do seryidor _ 

Quer voce esteja instalando um seryidor de arquivos, um seryidor web ou qualquer um dos outros 
recursos de seryidor disponiveis com sistemas Linux, muitos dos passos necessarios para fazer o 
seryidor funcionar sao os mesmos. Onde a configuraęao do seryidor diyerge e nas areas de configuraęao 
e ajuste. Nos próximos capitulos, descrevo seryidores especificos e como eles diferem Em cada um dos 
capitulos relacionados a seryidor que se seguem a este capitulo, voce yai percorrer os mesmos passos 
basicos para fazer o seryidor iniciar e disponibiliza-lo para uso por seus clientes: 


Passo 1: Instale o servidor 

Embora a maior parte do software de seryidor nao venha pre-instalada no sistema Linux tipico, qualquer 
sistema Linux de propósito geral vai oferecer os pacotes de software necessarios para fornecer os 
principais tipos de seryidores disponiveis. 

As vezes, varios pacotes de software associados com um determinado tipo de seryidor sao reunidos em 
Package Groups (as vezes chamados de Package Collections). Outras vezes, voce só precisa instalar os 
pacotes do seryidor que voce quer individualmente. Eis algumas categorias de pacotes de seryidores no 
Fedora e alguns dos pacotes disponiveis em cada categoria: 

■ Seryidor de registro emlog do sistema — O seryięo rsyslog permite ao sistema local 




recolher as mensagens de log entregues a partir de uma variedade de componentes no sistema. Ele 
tambem pode atuar como um servidor de log remoto, coletando mensagens de log enviadas de 
outros servidores de log. (O servięo rsysloge descrito mais adiante, neste capltulo.) 

Servidor de impressao — O Common UNIX Printing Service (pacote cups) e usado mais 
freąuentemente para fornecer recursos de servidor de impressao em sistemas Linux. Pacotes que 
fornecem administraęao grafica do CUPS (system-conf ig-printer) e drivers da 
impressora (foomatic, hpi j s e outros) tambem estao disponlveis quando voce instala o 
CUPS. (Veja o Capltulo 16. “Configurando um servidor de impressao”.) 

Servidor Web — O servidor web Apache (pacote httpd) e o software que e usado na maioria 
das vezes para servir paginas web (conteudo HTTP). Pacotes relacionados incluem módulos para 
ajudar a servir determinados tipos de conteudo (Perl, Python, PHP e conexdes SSL). Da mesma 
maneira, ha pacotes de documentaęao (httpd-manual), ferramentas para monitorar dados da 
web (webalizer) e ferramentas para o fornecimento de servięos web proxy (squid). (Veja o 
Capltulo 17, “Configurando umservidor web”.) 

FTP Server — The Very Secure FTP Daemon (pacote vsf tpd) e o servidor FTP padrao usado 
no Fedora e no RHEL. Outros pacotes de servidor de FTP sao o prof tpd e o pure-ftpd. 
(Veja o Capltulo 18, “Configurando umservidor FTP”.) 

Windows File Server — Samba (pacote samba) permite que um sistema Linux funcione como um 
servidor de arquivos e impressao do Windows. (Veja o Capitulo 19, “Configurando umservidor 
de compartilhamento de arquivos Windows (Samba)”.) 

NFS — NetWork File System (NFS) e o recurso de Linux e UNIX padrao para fornecer diretórios 
compartilhados para outros sistemas emuma rede. O pacote nf s-utils fornece servięos NFS 
e comandos relacionados. (Veja o Capitulo 20, “Configurando umservidor de arquivos NFS”.) 

Servidor de e-mail — Esses tipos de pacotes permitem configurar servidores de e-mail, as vezes 
referidos como servidor Mail Transport Agent (MTA). \bce tern varias opęóes de servidores de 
e-mail, incluindo sendmail (padrao no Fedora), postf ix (padrao no RHEL) e exim. 

Pacotes relacionados, como dovecot, permitemque o servidor de e-mail entregue e-mail para 
clientes. 

Servidor de diretório — Pacotes nesta categoria fornecem servięos de autenticaęao remota e 
local. Esses incluemKerberos (krb5-server), LDAP (openldap-servers) e NIS 
(ypserv). 

Servidor DNS — O servięo Berkeley Internet Name Domain (bind) fornece o software 
necessario para configurar um servidor para converter nomes de hosts em endereęos IP. 

Servidor NTP (NetWork Time Protocol) — O pacote ntpd fornece um servięo que voce pode 
ativar para sincronizar o relógio do sistema com relógios de servidores NTP publicos ou 
privados. 

SQL Server — O servięo PostgreSQL (postgresql-server e PostgreSQL-servidor) 

e um sistema obj eto-relacional de gerenciamento de banco de dados. Pacotes relacionados 



fornecema documentaęao e ferramentas relacionadas do PostgreSQL. O servięo MySQL (pacotes 
mysąl e mysql-server) e outro popular servidor de banco de dados SQLde código-fonte 
aberto. 

Passo 2: Configure o servidor 

A maioria dos pacotes de software de servidor e instalada com urna configuraęao padrao que tende mais 
para a seguranęa do que a plena utilizaęao imediata. Eis algumas coisas a se pensar quando voce comeęa 
a configurar um servidor. 

Usando arquivos de configuraęao 

A maioria dos servidores Linux e configurada por meio de arquivos de texto no diretório /etc (ou 
subdiretórios). Muitas vezes, ha umarquivo de configuraęao principal e, as vezes, ha um diretório de 
configuraęao relacionado emque os arquivos que terminamem . conf podemser copiados para o 
arquivo de configuraęao principal. 

O pacote httpd (Apache web server) e umexemplo de umpacote de servidor que temumarquivo de 
configuraęao principal e um diretório onde outros arquivos de configuraęao podem ser colocados e 
incluidos no servięo. O principal arquivo de configuraęao no Fedora e no RHEL e o 

/etc/httpd/conf/httpd. conf. O diretório de configuraęao e /etc/httpd/conf . d. 

Depois de instalar pacotes httpd e afins, voce vai ver os arquivos no diretório 
/etc/httpd/conf . d, que foramcolocados la por pacotes diferentes: mod_ssl, mod_perl e 
assimpor diante. Essa e urna maneira como pacotes suplementares de um servięo podem ter suas 
informaęóes de configuraęao habilitadas no servidor httpd, semque o pacote precise tentar executar 
umscriptpara editar o arquivo httpd. conf principal. 

A unica desvantagem para arquivos de configuraęao em texto simples e que voce nao tern o tipo de 
yerificaęao de erro imediato que tern quando usa ferramentas de administraęao grafica. \foce tern de 
executar um comando de teste (se o servięo incluir um) ou realmente tentar iniciar o servięo para ver se 
ha algum problema com seu arquivo de configuraęao. 


la 

iez de usar o vi para editar arquivos de configuraęao, utilize o vim. Usar o comando vim pode ajuda-lo a 
ctar erros ao editar o arquivo de configuraęao. 

mando vim conhece os formatos de muitos arquivos de configuraęao (passwd, httpd. conf, fstab e 
)s). Se voce cometer um erro e digitar um termo ou opęao invalidos em um desses arquivos ou quebrar o formato 
tlguma forma, a cor do texto sera alterada. Por exemplo, em /etc/fstab, se voce alterar a opęao 
aults para default, a corda palavra muda de verde para preto. 


Verificando a configuraęao padrao 

A maioria dos pacotes de software de servidor no Fedora e no RHEL e instalada com urna configuraęao 
minima e tende a privilegiar a seguranęa mais do que a plena funcionalidade. Algumas distribuięóes 






Linux perguntam-lhe, ao instalar umpacote de software, coisas como o diretório emque voce deseja 
instala-lo ou a conta de usuario que voce deseja para gerencia-lo. 

Como os pacotes RPM sao projetados para serem instalados sem supervisao, a pessoa que instala o 
pacote nao tern escolha de como ele e instalado. Os arquivos sao instalados em locais fixos, contas de 
usuarios espedficas sao habilitadas para gerencia-los e quando voce inicia o servięo, este poderia muito 
bem oferecer acessibilidade limitada. Espera-se que voce configure o software após a instalaęao do 
pacote para tornar o servidor totalmente funcional. 

Dois exemplos de servidores que sao instalados com funcionalidades limitadas sao os servidores de 
email (pacotes sendmail oupostfix) e os servidores DNS (pacotes bind). Ambos sao instalados 
com configuraęóes padrao e iniciam na reinicializaęao do sistema. Mas ambos tambem só atendem 
solicitaęóes de seu localhost. Portanto, ate voce configurar esses servidores, as pessoas que nao 
estao conectadas ao seu servidor local e nao podem enviar e-mail para o servidor ou usar o computador 
como um servidor de DNS publico. 


Passo 3: Inicie o servidor 

A maioria dos servięos que voce instala no Linux e configurada para iniciar durante a inicializaęao do 
sistema e, entao, executar continuamente, atendendo as solicitaęóes pelo seu servięo, ate que o sistema 
seja desligado. Ha dois principais recursos para o gerenciamento de servięos: systemd (usado agora 
pelo Ubuntu e o Fedora) e Scripts de inicializaęao System V (usados pelo Red Hat Enterprise Linux, ao 
menos ate o RHEL 6.x). 

Independentemente de qual mecanismo e usado no sistema Linux, e seu trabalho fazer coisas como definir 
se deseja que o servięo inicie na inicializaęao do sistema e iniciar, parar e recarregar o servięo conforme 
necessario (possivelmente para carregar novos arquivos de configuraęao ou interromper temporariamente 
o acesso ao servięo). Comandos para fazer essas tarefas sao descritos no Capitulo 15, “Iniciando e 
parando servięos”. 

A maioria dos servięos, mas nao todos os, e implementada como processos daemon. Eis algumas coisas 
que voce deve saber sobre esses processos: 

■ Permissoes de usuarios e de grupo — Processos daemon costumam rodar como usuarios e outros 

grupos que nao sejamroot. Por exemplo, httpd e executado como apache e ntpd e executado 
como o usuario ntp. Arazao disso e que, se algueminvadir esses servidores, ele nao tera 
permissóes para acessar arquivos alem do que o servięo pode acessar. 

■ Arquivos de configuraęao do daemon — Muitas vezes, um servięo tera um arquivo de 

configuraęao para o daemonarmazenado no diretório /etc/sysconf ig. Esses arquivos sao 
diferentes do arquivo de configuraęao, no sentido de que seu trabalho costuma ser apenas passar 
argumentos para o processo de servidor em si, em vez de configurar o servięo. Por exemplo, as 
opęóes definidas no arquivo /etc/sysconf ig/rsyslogd sao passados para o daemon 
rsyslogd quando ele inicia. Entao, voce pode dizer para o daemon, por exemplo, enviar 
informaęóes de depuraęao adicionais para a saida ou aceitar mensagens de log remotas. Veja a 
pagina manpara o servięo (por exemplo, man rsyslogd) para ver quais opęóes sao 
suportadas. 



■ Numeros de porta — Os pacotes de dados entram e saem do seu sistema atraves de interfaces de 
rede e portas para cada protocolo (UDP, TCP, ICMP etc.). Amaioria dos servięos padrao tem 
numeros de porta especificos que os daemons ouvem e as quais os clientes se conectam A menos 
que esteja tentando esconder a localizaęao de um servięo, voce normalmente nao altera as portas 
que umprocesso daemon ouve. Ao configurar a seguranęa de um servięo, voce deve certificar-se 
de que a porta para ele esta aberta no firewall (ver Capitulo 25, “Protegendo o Linux emuma 
rede”, para obter informaęóes sobre firewalls iptables). Alemdisso, se voce mudar a porta 
que o servięo esta ouvindo e o SELinux estiver no modo Enforcing, o SELinux pode impedir que 
o daemon ouęa nessa porta (ver Capitulo 24, “Aumentando a seguranęa do Linux com o SELinux”, 
para mais informaędes sobre o SELinux). 


ta 

razao para alterar os numeros de porta em um servięo e “seguranęa pela obscuridade”. Por exemplo, o servięo 
d e um alvo bem conhecido para quem esta tentando invadir um sistema adivinhando logins e senhas na porta 
22 . 

jvi falarde pessoas que mudam seu servięo sshd voltado para internet para escutarem algum outro numero de 
a (talvez algum nao utilizado ou um numero de porta muito alto). Entao, eles pedem para seus amigos ou colegas 
em login em sua maquina a partir do ssh, apontando para essa outra porta. A ideia e que scanners de porta 
urando invadir o sistema tendem a nao verificar portas normalmente nao utilizadas. 


Nem todos os servięos sao executados continuamente como processos daemon. Alguns servięos sao 
executados sob demanda usando o superservidor xinetd. Outros servięos apenas sao executados urna 
vez na inicializaęao e, entao, fecham Outros ainda sao executados apenas um numero definido de vezes, 
sendo carregados quando o daemon crond ve que o servięo foi configurado para ser executado na data e 
hora especificadas. 

Dos servięos ja mencionados, os sob demanda sao a principal forma de executar servięos sempre 
disponiveis (se nao sempre emexecuęao). Servięos sob demanda nao funcionam continuamente ouvindo 
solicitaęóes. Em vez disso, seus servięos sao registrados no daemon xinetd. Quando o daemon 
xinetd recebe solicitaęóes de umservięo, ele carrega-o e serve-o ao cliente. 

Avantagemdo daemon xinetd e que voce pode ter menos processos daemon executando e consumindo 
memória e slots de processamento. O superservidor xinetd (originalmente chamado inetd, quando 
foi criado nos primeiros dias do UNIX) surgiu em um momento em que a memória era muito cara e, 
portanto, liberar espaęo carregando os servięos raramente utilizados apenas sob demanda fazia sentido. 
Como a quantidade de memória consumida por um processo daemon nao e mais urna grandę coisa, voce 
pode observar que a maioria dos servięos xinetd sao mais antigos (como telnet e tf tp). 

Para mais informaęóes sobre a inicializaęao de servięos como servięos regulares ou sob demanda 
(xinetd), consulte o Capitulo 15, “Iniciando e parando servięos”. 


Passo 4: Proteja o servidor 






Abrir o sistema para permitir que usuarios remotos o acessem atraves da rede nao e urna decisao que 
voce deve tomar semas devidas consideraęóes. Ha crackers por todo o mundo rodando programas para 
procurar servidores vulneraveis que eles possam invadir para roubar dados ou capacidade de 
processamento. Felizmente, ha medidas que voce pode adotar em sistemas Linux para proteger seus 
servidores e servięos contra ataques e abusos. 

Algumas tecnicas de seguranęa comuns sao descritas nas próximas seęóes. Esses e outros temas sao 
abordados commais profundidade na parte Y “Aprendendo tecnicas de seguranęa do Linux”. 

Proteęao por sen ha 

Boas senhas e pollticas de senha sao a primeira linha de defesa para proteger um sistema Linux. Se 
alguem pode fazer logon em seu servidor via ssh como o usuario root com a senha foobar, espere ser 
invadido. Urna boa tecnica e nao permitir login direto por root e exigir que cada usuario faęa login como 
um usuario comume depois usar su ou sudo para se tornar root. 

\bce tambempode usar o recurso Pluggable Authentication Module (PAM) para ajustar o numero de 
vezes que alguem pode errar nas tentativas de login antes de bloquear o acesso a essa pessoa. O PAM 
tambem inclui outros recursos para bloquear a autenticaęao em seu servidor Linux. Para urna descrięao 
do PAM, consulte o Capitulo 23, “Noęóes basicas de seguranęa avanęada emLinux”. 

Fi rewa lis 

O servięo de firewall iptables pode acompanhar e responder a todos os pacotes indo e vindo das 
placas de rede em seu computador. Usando iptables, voce pode descartar ou rejeitar todos os pacotes 
fazendo solicitaęóes de servięos em seu sistema, exceto para aqueles poucos que voce habilitou. Alem 
disso, voce pode dizer para o iptables permitir solicitaęóes de servięo apenas de determinados 
endereęos IP (os caras bons) ounao permitir solicitaęóes de outros endereęos (os caras maus). 

Em cada um dos próximos capitulos sobre servidor, descrevo as portas que devem ser abertas para 
permitir o acesso aos servięos. Descrięóes de como funciona o iptables estao inclusas no Capitulo 
25, “Protegendo o Linux emuma rede”. 

TCPWrappers 

Usando os arquivos /etc/hosts . allow e /etc/hosts . deny, voce pode permitir ounegar o 
acesso a esses servięos que tern os recursos de TCPWrappers habilitados (libwrap). O acesso pode 
ser permitido ou negado combase no endereęo IP ou nome do host. Descriędes de TCP Wrappers estao 
contidas no Capitulo 25. 

SELinux 

Fedora, Red Hat Enterprise Linux e outras distribuiędes Linux vem com o recurso Security Enhanced 
Linux (SELinux) incluso e emmodo Enforcing. Embora o modo direcionado padrao nao tenha muito 
impacto sobre a maioria dos aplicativos que voce roda no Linux, ele tern um grandę impacto sobre a 
maioria dos principais servięos. 

Urna das principais funęóes do SELinux e proteger o conteudo de seu sistema Linux contra processos em 
execuęao no sistema. Em outras palavras, o SELinux garante que um servidor web, FTP, Samba ou DNS 
possa acessar apenas umconjunto restrito de arquivos no sistema (conforme definido por contextos de 



arquivos) e permitir apenas umconjunto restrito de recursos (conforme definido por opędes booleanas). 

Detalhes sobre como usar o SELinux estao contidos no Capitulo 24, “Aumentando a seguranęa do Linux 
como SELinux”. 

Configu raęoes de seguranęa em arquivos de configuraęao 

Dentro dos arquivos de configuraęao da maioria dos servięos estao valores que podem ser configurados 
para proteger ainda mais esses servięos. Por exemplo, para servidores de arquivos e servidores web, 
voce pode restringir o acesso a determinados arquivos ou dados combase no nome de usuario, nome de 
host, endereęo IP do cliente ou outros atributos. 


Passo 5: Monitore o servidor 

Como voce nao pode estar la para monitorar cada servięo a cada minuto, voce tern de colocar as 
ferramentas de monitoramento no lugar para monitorar seus servidores por voce; assim se torna mais 
facil descobrir quando algo precisa de atenęao. Algumas das ferramentas que voce pode usar para 
monitorar seus servidores estao descritas nas seęóes que se seguem 

Configure o registro em log 

Usando o servięo rsyslog (daemon rsyslogd), voce pode coletar informaęóes cruciais e condięóes 
de erro emarquivos de log sobre muitos servięos diferentes. Por padrao, mensagens de log dos 
aplicativos sao direcionadas para arquivos de log no diretório /var/log. Para maior seguranęa e 
comodidade, as mensagens de log tambem podem ser direcionadas para um servidor centralizado, 
oferecendo um local centralizado para visualizar e gerenciar o registro em log. 

Varios pacotes de software diferentes estao disponiveis para trabalhar com rsyslog e gerenciar 
mensagens de log. O recurso logwatch varre seus arquivos de log a cada noite e envia informaęóes 
criticas recolhidas a partir desses arquivos para urna conta de e-mail de sua escolha. O recurso 
logrotate faz o backup de arquivos de log emarquivos compactados depois que os logs atingemum 
determinado tamanho ou depois de um determinado periodo de tempo desde o backup anterior. 

Os recursos para configurar e gerenciar o log do sistema sao descritos na seęao “Configurando o registro 
em log do sistema”, mais adiante neste capitulo. 

Execute relatórios de atividade do sistema 

O recurso sar (que e habilitado pelo pacote sysstat) pode ser configurado para observar atividades 
em seu sistema, como uso de memória, uso de CPU, latencia de disco, atividades de rede e outros drenos 
de recursos. Por padrao, o recurso sar e carregado a cada poucos minutos, dia e noite, para coletar 
dados. Examinar esses dados mais tarde pode ajudar voce a voltar e descobrir onde e quando a demanda 
tempicos emseu sistema. O recurso sar e descrito em “Verificando recursos de sistema com sar”, mais 
adiante neste capitulo. 

Mantenha o software de sistema atualizado 

A medida que brechas de seguranęa sao descobertas e atualizadas, voce deve certificar-se de que os 
pacotes de software atualizados contendo os patches (correęóes) estao instalados em seus servidores. 



Noyamente, com servidores de missao critica, a maneira mais segura e mais eficiente e usar sistemas Red 
Hat Enterprise Linux por assinatura para seus servidores e, entao, implantar atualizaęóes de seguranęa 
relacionadas como pacote emseu sistema, logo que eles sao liberados e testados. 

Para manter seu servidor pessoal e sistemas desktop atualizados, voce pode usar a janela Add/Remove 
Software do PackageKit para verificar se ha atualizaęóes. \foce tambempode usar o comando yumpara 
verificar e instalar todos os pacotes que estao disponiveis para sistemas RHEL ou Fedora (digite yum 

update). 

Verifique sinais de irwasao do sistema de arquivos 

Para verificar sinais de inyasao do sistema de arquivos, voce pode executar comandos como rpm -V, 
que lhe mostrarao se quaisquer comandos, arquivos de documentos ou arquivos de configuraęao foram 
adulterados em seu sistema. Para mais informaęóes sobre rpm -V, consulte a descrięao desse comando 
no Capitulo 10, “Obtendo e gerenciando software”. 

Agora que voce tern urna visao geral de como a configuraęao do servidor Linux e feita, as próximas 
seęóes desse capitulo focalizam as ferramentas que voce precisa para acessar, proteger e manter seus 
sistemas de seryidores Linux. 


Gerenciando o acesso remoto com o seryięo Secure Shell 

As ferramentas Secure Shell sao umconjunto de aplicatiyos cliente-seryidor que permite fazer 
comunicaęóes basicas entre computadores clientes e seryidores Linux. As ferramentas incluem ssh, 
sep, sftp e muitas outras. Como a comunicaęao e criptografada entre o seryidor e os clientes, essas 
ferramentas sao mais seguras do que as ferramentas similares antigas. Por exemplo, em vez de usar 
comandos de login remoto antigos, como telnet ou rlogin, voce poderia usar ssh. O comando ssh 
tambempode substituir comandos de execuęao remota antigos, como rsh. Comandos de cópia remotos, 
como rep, podemser substituidos por comandos seguros, como sep e rsync. 

Com as ferramentas do Secure Shell, o processo de autenticaęao e todas as comunicaęóes que se seguem 
sao criptografados. Comunicaęóes de telnet e os antigos comandos r exp5emsenhas e todos os dados 
para alguemfazendo sniffing (analise de pacotes) na rede. Hoje, telnet e comandos semelhantes 
devem ser usados apenas para testar o acesso a portas remotas ou fazer outras tarefas que nao exp5em 
seus dados priyados. 


ta 

uma discussao mais profunda de tecnicas de criptografia, consulte o Capitulo 23, “Noęoes basicas de seguranęa 
ęada em Linux”. 


A maioria dos sistemas Linux inclui clientes Secure Shell e muitos tambem incluem o seryidor de shell 
seguro. Se voce estiyer usando uma distribuięao do Fedora ou do RHEL, por exemplo, os pacotes de 
software cliente-seryidor que contemas ferramentas ssh sao os pacotes openssh, openssh- 







clients e openssh-server, como segue: 


# yum list installed | grep ssh 

openssh.i686 5.8p2-25.fcl6 @updates 

openssh-clients.i686 5.8p2-25.fcl6 @updates 

openssh-server.i686 5.8p2-25.fcl6 @updates 

No Ubuntu, apenas o pacote openssh-clients esta instalado. Ele inclui a funcionalidade do pacote 
openssh. Se voce precisar do servidor instalado, use o comando sudo apt-get install 
openssh-server. 

$ sudo dpkg --list | grep openssh 

ii openssh-client 1:5.8pl-7ubuntul 

secure shell (SSH) Client, for secure 
access to remote machines 

$ sudo apt-get install openssh-server 

Iniciando o servięo openssh-server 

Sistemas Linux que yemcomo pacote openssh-server ja instalado, muitas vezes, nao estao 
configurados para iniciar automaticamente. Servięos de gerenciamento do Linux (consulte o Capltulo 15, 
“Iniciando e parando servięos”) podem ser muito diferentes, dependendo das diferentes distribuięóes. A 
Tabela 13.1 mostra os comandos que devemser usados a fimde garantir que o daemonde servidor ssh, 
o sshd, esta instalado e funcionando emumsistema Linux. 


TABELA 13.1 Comandos para Determinar o Status do sshd 


tribuięao 

Comando para determinar o status do sshd 

EL 

chkconfig —list sshd 

lora 

systemctl status sshd.service 

untu 

status ssh 


Se sshd nao esta sendo executado, voce pode inicia-lo emitindo umdos comandos listados na Tabela 
13.2. Esses comandos precisamde priyilegios de root para funcionar. 


TABELA 13.2 

Comandos para Iniciar o sshd 

tribuięao 

Comando para iniciar o sshd 

EL 

service sshd start 

lora 

systemctl start sshd.service 

untu 

seryice ssh start 



Os comandos na Tabela 13.2 só vao iniciar o servięo ssh. Eles nao vao configura-lo para iniciar 
automaticamente na inicializaęao. Para garantir que o servięo do servidor esteja configurado para iniciar 
automaticamente, voce precisara usar umdos comandos na Tabela 13.3, com privilegios de root. 


TABELA 13.3 

Comandos para Iniciar o sshd na Inicializaęao 

tribuięao 

Comando para iniciar o sshd na inicializaęao 

EL 

chkconfig sshd on 

lora 

systemctl enable sshd.service 

untu 

update-rc.d ssh defaults 


Quando voce instala o openssh-server no Ubuntu, o daemon sshd esta configurado para iniciar 
automaticamente na inicializaęao. Portanto, voce pode nao precisar executar o comando na Tabela 13.3 
para seu servidor Ubuntu. 


:a 

gerenciar servięos em uma distribuięao Fedora mais antiga, use o comando chkconfig tanto para iniciar o servięo 
:omo para garantir que ele vai iniciar na inicializaęao do sistema. 


Modifiąue suas configuraęóes de firewall emnetfilter/iptables para permitir que oopenssh- 
client acesse a porta 22 (firewalls sao abordados no Capitulo 25, “Protegendo o Linux emuma 
rede”). Uma vez que o servięo esta funcionando e o firewall esta configurado corretamente, voce deve 
ser capaz de usar comandos de cliente ssh para acessar o sistema via servidor ssh. 


ta 

ilhor usar um TCP Wrapper com servięos ssh. TCP Wrappers sao abordados no Capitulo 25, “Protegendo o Linux 
ima rede”. 


Mais configuraędes que o daemon sshd tempermissao para fazer sao tratadas no arquivo 
/etc/ssh/sshd_conf ig/. No minimo, altere a configuraęao PermitRootLogin de yes para 
no. Isso impedira todo mundo de fazer login remotamente como root. 

# grep PermitRootLogin /etc/ssh/sshd_config 

PermitRootLogin no 

Depois de ter alterado o arquivo sshd conf ig, reinicie o servięo sshd. Após esse ponto, se voce 
usar o ssh para fazer login no sistema a partir de um cliente remoto, voce deve faze-lo como umusuario 
comume ,entao, usar su ou sudo para se tornar o usuario root. 















Usando ferramentas de cliente SSH 

Muitas ferramentas para acessar sistemas remotos Linux foramcriadas para fazer uso do servięo SSH. A 
mais utilizada dessas ferramentas e o comando ssh, que pode ser usado para login remoto, execuęao 
remota e outras tarefas. Comandos como sep e rsync podemcopiar umoumais arquivos de cada vez 
entre sistemas SSH clientes e servidores. O comando sf tp fornece urna interface do tipo FTP para 
navegar por um sistema de arquivos remoto e copiar e transferir arquivos entre os sistemas de forma 
interativa. 

Por padrao, todas as ferramentas relacionadas com SSH autenticamusando o padrao de nomes de 
usuarios e senhas do Linux, tudo feito atraves de conex5es criptografadas. Mas o SSH tambem suporta 
autenticaęao baseada em chave, que pode ser usada para configurar a autenticaęao sem senha entre 
clientes e servidores SSH (como descrito na seęao “Usando a autenticaęao baseada emchave (sem 
senha)”, mais adiante, neste capitulo). 

Usando SSH para login remoto 

Use o comando ssh a partir de outro computador Linux para testar se voce e capaz de fazer login no 
sistema Linuxrodando o servięo sshd. \bce usara o comando ssh com frequencia para acessar um 
shell nos servidores que voce esta configurando. 

Tente fazer login em seu servidor Linux a partir de outro sistema Linux usando o comando ssh. (Se nao 
tiver outro sistema Linux, voce pode simular isso digitando localhost emvez do endereęo IP e fazer 
login como um usuario local.) Eis um exemplo de login remoto com a conta de j ohndoe em 
10.140.67.23: 

$ ssh johndoe@10.140.67.23 

The authenticity of host '10.140.67.23 (10.140.67.23)' can't be established. 

RSA key fingerprint is a4:28:03:85:89:6d:08:fa:99:15:ed:fb:bO:67:55:89. 

Are you surę you want to continue connecting (yes/no)? yes 

Warning: Permanently added '10.140.67.23' (RSA) to the list of known hosts. 
johndoe@10.140.67.23's password: ********* 

Se esta e a primeira vez que voce tenta fazer login no sistema remoto usando o comando ssh, o sistema 
pedira que voce confirme que deseja se conectar. Digite yes e pressione Enter. Entao, quando solicitado, 
digite a senha do usuario. 

Quando digita yes para continuar, voce aceita a chave publica do host remoto. Nesse ponto, a chave 
publica do host remoto e baixada no arquivo ~/ . ssh/known_hosts do cliente. Agora, os dados 
trocados entre esses dois sistemas podem ser criptografados e descriptografados utilizando criptografia 
assimetrica RSA(consulte o Capitulo 23, “Noędes basicas de seguranęa avanęada emLinux”). 

Depois de se conectar ao sistema remoto, voce pode comeęar a digitar comandos de shell. Aconexao 
funciona como um login normal, a unica diferenęa e que os dados sao criptografados ao trafegarem pela 
rede. 

Quando voce terminar, digite exit para fechar a conexao remota. Aconexao sera fechada e voce sera 
devolvido ao prompt de comando em seu sistema local. (Se o shell local nao retornar após deixar o shell 
remoto, digitar ~ . normalmente fecha a conexao.) 



$ exit 

logout 

Connection to 10.140.67.23 closed. 

$ 

Depois que voce se conecta remotamente a um sistema, aparece um arquivo em um subdiretório do seu 
sistema local, ~ . ssh/known_hosts. Esse arquivo contema chave publica do host remoto junto com 
seu endereęo IP. Chaves publicas e privadas de seu servidor sao armazenadas no diretório /etc/ssh. 

$ ls .ssh 

known_hosts 

$ cat .ssh/known_hosts 

10.140.67.23 ssh-rsa 

AAAAB3NzaClyc2EAAAABIwAAAQEAoyfJKlYwZhNmpHE4yLPZAZ9ZNEdRE 
7I159f3IyGiH21Ij fqs 

NYFR10 ZlBLlYyTQiO 6r/9019GwCaJ753InQ8FWHW+OOYOG5pQmghhn/ 
xOLD2uUb6egOu6zimlNEC 

JwZf5DWkKdy4euCUEMSqADh/WYeuOSoZOpp2IAVCdh6w/ 

PIHMF1HVR0 6 9cvdv+OTL4vDOX811Spw 
0ozqRptz2UQgQBBbBj KlRakD7 fYlTrWvNQhYG/ 
ugtgPaY4JDYeY 60BzcadpxZmf7EYUw0ucXGVQla 

NP/erIDOQ9rAOYNzCRvy2LYCm2/9adpAxc+UYi5UsxTw4ewSBjmsXYq//Ahaw4mjw== 


:a 

quer tentativa posterior desse usuario de se conectar com o servidor em 10.140.67.23 sera autenticada usando 
chave armazenada. Se o servidor mudar a chave dele (o que acontece se o sistema operacional for reinstalado), 
itivas de se conectar via ssh com esse sistema resultarao na recusa da conexao e temveis advertencias de que 
pode estarsob ataque. Se a chave de fato mudou, para ser capaz de se conectar via ssh com o endereęo novo, 
a remover a chave do host (toda a linha) do arquivo know_hosts e voce sera capaz de baixar a nova chave. 


Usando SSH para execuęao remota 

Alem de fazer login em um shell remoto, o comando ssh pode ser usado para executar um comando no 
sistema remoto e fazer o resultado ser retornado para o sistema local. Eis umexemplo: 

$ ssh johndoe@10.140.67.23 hostname 

johndoe@10.140.67.23's password: ********** 
j d.example.com 

No exemplo mostrado, o comando hostname e executado como o usuario j ohndoe no sistema Linux 
localizado no endereęo IP 10.140.67.23. A saida do comando e o nome do servidor remoto (nesse 
caso, j d. example . com), que aparece na tela local. 

Se voce rodar um comando de execuęao remota com ssh que inclui opęóes ou argumentos, nao se 
esqueęa de colocar a linha de comando remoto inteira entre aspas. Tenha emmente que, se voce 
referenciar arquivos ou diretórios em seus comandos remotos, caminhos relativos sao interpretados em 
relaęao ao diretório inicial do usuario. Por exemplo: 






$ ssh johndoe@10.140.67.23 "cat myfile" 

johndoe@10.140.67.23's password: ********** 

This is the contents of the myfile file located in johndoe's home directory. 

O comando ssh mostrado simplesmente vai para o host remoto localizado em 10.140.67.23 e executa o 
comando cat myfile como o usuario johndoe. Isso faz comque o conteudo do arquivo myfile 
desse sistema seja exibido na tela local. 

Outro tipo de execuęao remota que voce pode fazer com ssh e o encaminhamento XII. Se o 
encaminhamento XII estiver habilitado no servidor (XI lForwarding yes e definido no arquivo 
/etc/sshd/sshd_conf ig), voce pode executar aplicativos graficos do servidor seguramente 
atraves da conexao SSH usando ssh-X. Para um administrador de seryidor iniciante, isso significa que, 
se houver ferramentas graficas de administraęao instaladas em um seryidor, voce pode executar essas 
ferramentas semter de sentar-se a frente do console. Por exemplo: 

$ ssh -X johndoe@10.140.67.23 system-config-date 

johndoe@10.140.67.23's password: ********** 

Depois de executar esse comando, voce sera solicitado a informar a senha de root. Depois disso, a janela 
Date/Time Properties aparece, pronta voce alterar a data e a hora atuais. Basta fechar a janela quando 
terminar e o prompt local retorna. \bce pode fazer isso para qualquer ferramenta de administraęao 
grafica ou apenas aplicativos X regulares (como o editor grafico gedit, assim voce nao precisa usar o 
vr). 

Se quiser executar varios comandos X e nao quiser ter de se reconectar a cada vez, voce tambem pode 
usar o encaminhamento XII diretamente a partir de um shell remoto. Coloquem os comandos em segundo 
piano e voce pode ter varios aplicativos X remotos em execuęao em seu desktop local ao mesmo tempo. 
Por exemplo: 

$ ssh -X johndoe@10.140.67.23 

johndoe@10.140.67.23's password: ********** 

$ system-config-network & 

$ gedit & 

$ exit 

Depois de terminar de usar os aplicativos graficos, feche-os como faria normalmente. Entao, digite 
exit, como mostrado no código anterior, para deixar o shell remoto e retornar ao seu shell local. 

Copiando arquivos entre sistemas com sep e rsync 

O comando sep e semelhante ao antigo comando rep do UNIX para copiar arquivos de e para sistemas 
Linux, exceto que todas as comunicaęóes sao eneriptadas. Os arquivos podem ser copiados do sistema 
remoto para o sistema local ou do local para o remoto. \foce tambem pode copiar arquivos 
recursivamente ao longo de urna estrutura de diretórios inteira, se escolher. 

Eis umexemplo de como usar o comando sep para copiar umarquivo chamado memo do diretório 
inicial do usuario chris para o diretório /tmp em um computador remoto: 



$ sep /home/chris/memo johndoe@10.140.67.23:/tmp 

johndoe@10.140.67.23's password: *************** 
memo 100%|****************| 153 0:00 

\foce deve digitar a senha j ohndoe. Depois que a senha e aceita, o arquivo e copiado para o sistema 
remoto com sucesso. 

\bce pode fazer cópias recursivas com sep usando a opęao -r. Emvez de umarquivo, passe umnome 
de diretório para o comando sep e todos os arquivos e diretórios abaixo desse ponto no sistema de 
arquivos serao copiados para o outro sistema. 

? sep johndoe@10.140.67.23:/usr/share/man/manl/ /top/ 
johndoegl0.140.67.23' s password: *************** 
yolnaae.1.gs 100% 543 0.5KS/s 00:00 

mtools.l.gz 100% 6708 6.6K3/S 00:00 

roqes.1.gs 100% 2496 2.4KB/s 00:00 


Desde que o usuario j ohndoe tenha acesso aos arquivos e diretórios no sistema remoto e o usuario 
local seja capaz de gravar no diretório de destino (ambas sao verdadeiras, neste caso), a estrutura de 
diretórios de /usr/share/man/manl abaixo e copiada para o diretório /tmp local. 

O comando sep pode ser usado para fazer backup de arquivos e diretórios emuma rede. Mas se 
comparar sep ao comando rsync, voce ve que rsync (que tambemfunciona via conexóes SSH) e a 
melhor ferramenta de backup. Tente executar o comando sep mostrado anteriormente para copiar o 
diretório mani (voce pode simular o comando usando localhost emvez do endereęo IP, se só tiver 
um sistema Linux acessivel). Agora, digite o seguinte no sistema para o qual voce copiou os arquivos: 

$ ls -1 /usr/share/man/manl/batch* /tmp/manl/batch* 

-rw-r—r--.l johndoe johndoe 2628 Apr 15 15:32 /tmp/manl/batch.1.gz lrwxrwxrwx.l root root 
7 Feb 14 17:49 /usr/share/man/manl/batch.1.gz -> at.l.gz 

Entao, execute o comando sep novamente e listę os arquivos mais urna vez: 

$ sep johndoe@10.140.67.23:/usr/share/man/manl/ /tmp/ 

johndoe@10.140.67.23's password: *************** 

$ ls -1 /usr/share/man/manl/batch* /tmp/manl/batch* 

-rw-r—r--.l johndoe johndoe 2628 Apr 15 15:40 /tmp/manl/batch.1.gz lrwxrwxrwx.l root root 
7 Feb 14 17:49 /usr/share/man/manl/batch.1.gz -> at.l.gz 

Asaida desses comandos informa algumas coisas sobre como o sep funciona: 

■ Atributos perdidos — Permissóes ou atributos de registro de data/hora nao sao mantidos quando 

os arquivos sao copiados. Se estiver usando sep como urna ferramenta de backup, voce 
provavelmente vai querer manter permissóes e registros de data/hora nos arquivos se precisar 
restaura-los posteriormente. 

■ Links simbólicos perdidos — O arquivo bat eh . 1. gz e, na verdade, umlink simbólico para o 

arquivo at.l.gz. Em vez de copiar o link, sep segue-o e realmente copia o arquivo. 
Novamente, se voce fosse restaurar esse diretório, batch . 1. gz seria substituido pelo arquivo 
at.l.gz real, emvez de umlink para ele. 



■ Cópias repetidas desnecessariamente — Se voce examinou a segunda saida de sep, voce deve 
ter notado que todos os arquivos foram copiados de novo, ainda que exatamente os mesmos 
arquivos ja estivessemno destino. A data de modificaęao atualizada confirma isso. Em 
contraposięao, rsync pode determinar que umarquivo ja foi copiado e nao copia-lo novamente. 

O comando rsync e urna ferramenta melhor de backup de rede, pois pode superar algumas das 
deficiencias de sep que acabamos de citar. Tente executar umcomando rsync para fazer a mesma aęao 
que sep fez, mas comalgumas opęóes adicionais: 

$ rm -rf /tmp/manl/ 

$ rsync -avl johndoe@10.140.67.23:/usr/share/man/manl/ /tmp/ 

johndoe@10.140.67.23's password: *************** 
sending incremental file list 

mani/ 

manl/HEAD.1.gz 

manl/Mail.1.gz -> mailx.l.gz 

$ rsync -avl johndoe@10.140.67.23:/usr/share/man/manl/ /tmp/ 

johndoe@10.140.67.23's password: *************** 
sending incremental file list 

sent 42362 bytes received 13 bytes 9416.67 bytes/sec 
total size is 7322223 speedup is 172.80 

$ ls -1 /usr/share/man/manl/batch* /tmp/manl/batch* 

lrwxrwxrwx.l johndoe johndoe 7 Feb 14 17:49 /tmp/manl/batch.1.gz -> 
at.1.gz 

lrwxrwxrwx.l root root 7 Feb 14 17:49 /usr/share/man/manl/batch.1.gz -> 
at.1.gz 

Depois de remover o diretório v, voce executa um comando rsync para copiar todos os arquivos para o 
diretório v, usando -a (arquivamento recursivo), -v (verboso), -1 (copia links simbólicos). Entao, 
execute imediatamente o comando de novo e observe que nada e copiado. O comando rsync sabe que 
todos os arquivos ja estao la e, por isso, nao os copia novamente. Essa pode ser urna enorme economia 
de largura de banda de rede para diretórios com gigabytes de arquivos, nos quais apenas alguns 
megabytes mudam 

Alemdisso, observe a partir da saida de ls -1 que os links simbólicos forampreservados no arquivo 
batch . 1. gz e, por isso, terno registro de data/hora no arquivo. Se precisar restaurar os arquivos mais 
tarde, voce pode traze-los de volta exatamente como eram 

Esse uso de rsync e bom para backups. Mas e se voce quisesse espelhar dois diretórios, tornando o 
conteudo de duas estruturas de diretórios exatamente o mesmo em duas maquinas? Os comandos a seguir 
ilustram como criar um espelho exato da estrutura de diretórios em ambas as maquinas, usando os 
diretórios mostrados com os comandos rsync anteriores. 

Primeiro, no sistema remoto, copie umnovo arquivo para o diretório a ser copiado: 

# cp /etc/services /usr/share/man/manl 

Entao, no sistema local, execute rsync para copiar quaisquer novos arquivos (nesse caso, apenas o 
diretório e o novo arquivo, services): 



$ rsync -avl johndoe@10.140.67.23:/usr/share/man/manl /tmp 

johndoe@10.140.67.23's password: 

★★★★★★★★★★★★★★★ 

sending incremental file list 
mani / 

mani/services 

Depois disso, volte para o sistema remoto e remova o novo arquivo: 

$ sudo rm /usr/share/man/manl/services 

Agora, no sistema local, execute rsync novamente e perceba que nada acontece. Nesse ponto, os 
diretórios locais e remotos sao diferentes, porque o sistema local tern o arquivo services e o remoto nao. 
Esse e o comportamento correto para um diretório de backup (voce quer ter os arquivos do backup no 
caso de algo ter sido removido por engano). Mas se quiser que os diretórios remotos e locais sejam 
espelhados, voce teria de adicionar a opęao - -delete.O resultado e que o arquivo services e 
excluido do sistema local, fazendo comque as estruturas de diretórios local e remota sejam 
sincronizadas. 

$ rsync -avl /usr/share/man/manl localhost:/tmp 

johndoe@10.140.67.23's password: *************** 
sending incremental file list 
mani / 

$ rsync -avl --delete johndoe@10.140.67.23:/usr/share/man/manl /tmp 

johndoe@10.140.67.23's password: *************** 
sending incremental file list 
deleting mani/services 

Cópia interativa com sftp 

Se voce nao sabe exatamente o que deseja copiar para ou a partir de um sistema remoto, voce pode usar 
o comando sftp para criar urna sessao no estilo FTP interativa sobre o servięo SSH. Usando sftp, 
voce pode conectar-se a um sistema remoto via SSH, mudar de diretório, listar o conteudo do diretório e, 
entao, (dada a devida permissao) copiar arquivos do servidor (get) e transferir arquivos para o 
servidor (put). 

O exemplo a seguir mostra o usuario j ohndoe se conectando com j d. example . com: 

$ sftp johndoe@jd.example.com 

Connecting to jd.example.com 

johndoe@jd.example.com's password: *************** 
sf tp> 

Nesse ponto, voce pode comeęar urna sessao interativa de FTP. \bce pode usar os comandos get e put 
em arquivos como voce faria com qualquer cliente de FTP, mas com o conforto de saber que esta 
trabalhando em urna conexao criptografada e segura. Como o protocolo FTP passa nomes de usuario, 



senhas e dados emtexto claro, usando sf tp sobre SSH, se possivel, ele e uma alternativa muito melhor 
para permitir que seus usuarios copiem interativamente arquivos do sistema. 


Utilizando autenticaęao baseada em chave (sem senha) 

Se estiver usando ferramentas SSH para conectar os mesmos sistemas ao longo do dia, voce pode achar 
que e inconveniente digitar sua senha repetidamente. Em vez de usar autenticaęao baseada em senha, o 
SSH permite que voce configure autenticaęao baseada em chave para utilizar em seu lugar. Veja como 
funciona: 

■ \foce cria uma chave publica e uma chave privada. 

■ \foce guarda a chave privada, mas copia a chave publica por meio da conta do usuario no host 

remoto para o qual voce quer fazer autenticaęao baseada emchave. 

■ Com suas chaves copiadas para os locais apropriados, voce pode usar todas as ferramentas SSH 

para se conectar a conta do usuario no host remoto, mas em vez de pedir uma senha, o servięo 
remoto SSH compara a chave publica e a chave privada e permite o acesso se as duas chaves 
coincidirem 

Quando voce cria as chaves, voce tern a opęao de adicionar uma senha a sua chave privada. Se decidir 
adicionar uma senha, mesmo que voce nao precisa digitar uma senha para se autenticar no sistema 
remoto, voce ainda precisara digitar sua senha para desbloquear sua chave privada. Se nao adicionar 
uma senha, voce pode se comunicar usando seu par de chaves publica/privada de uma maneira 
completamente sem senha. Mas se alguem se apossar de sua chave privada, essa pessoa poderia agir 
como voce emqualquer comunicaęao que exigisse essa chave. 

O procedimento a seguir demonstra como um usuario local chamado chris pode configurar 
autenticaęao baseada emchave para um usuario remoto chamado j ohndoe no endereęo IP 
10.140.67.23. Se nao tiver dois sistemas Linux, voce pode simular isso usando duas contas de 
usuario no sistema local. Comeęo fazendo login como o usuario local chamado chris e digitando o 
seguinte para gerar meu par local de chaves publica/privada: 

$ ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/home/chris/.ssh/id_rsa): <ENTER> 

Enter passphrase (empty for no passphrase): <ENTER> 

Enter same passphrase again: <ENTER> 

Your Identification has been saved in /home/chris/.ssh/id_rsa. 

Your public key has been saved in /home/chris/.ssh/id_rsa.pub. 

The key fingerprint is: 

bf:06:f8:12:7f:f4:c3:0a:3a:01:7f:df:25:71:ec:ld chris@chris.example.com 
The key's randomart image is: 


Aceitei o padrao de chave RSA (tambem sao permitidas chaves DSA) e entao pressionei Enter duas 
vezes para ter uma senha embranco associada com a chave. Como resultado, minha chave privada 
(idrsa) e minha chave publica (idrsa . pub) sao copiadas para o diretório . ssh, no diretório 
inicial de j ohndoe. O próximo passo e copiar a chave para um usuario remoto, para que eu possa usar 



autenticaęao baseada em chave cada vez que me conectar a essa conta do usuario com as ferramentas 

ssh: 

$ ssh-copy-id -i ~/.ssh/id_rsa.pub johndoe@10.140.67.23 

johndoe@10.140.67.23's password: 

*************** 

Now try logging into the machinę, with "ssh 'johndoe@10.140.67.23'", 
and check in: 

.ssh/authorized_keys 

to make surę we haven't added extra keys that you weren't expecting. 

Quando solicitado, inseri a senha de j ohndoe. Comisso aceito, a chave publica pertencente a chris e 
copiada para o arquivo authorized_keys no diretório . ssh de j ohndoe. Agora, da próxima vez 
que chris tentar se conectar a conta de j ohndoe, a conexao SSH e autenticada usando essas chaves. 
Como nenhuma senha foi definida para a chave privada, nenhuma senha e necessaria para desbloquear a 
chave quando ela e usada. 

[chris]$ ssh johndoe@10.140 .67.23 

Last login: Sun Apr 15 10:12:22 2012 from 10.140.67.22 
[j ohndoe]$ 

Com as chaves no lugar, chris poderia agora usar ssh, sep, rsync ou qualquer outro comando 
habilitado para SSH a firn de fazer autenticaęao baseada emchave. Usando essas chaves, por exemplo, 
um comando rsync poderia entrar emumscript cron e fazer umbackup automatico do diretório inicial 
de j ohndoe toda noite. 


Configurando o registro em log do sistema _ 

Como conhecimento de como acessar o servidor remoto usando ferramentas SSH, voce pode fazer login 
no servidor e configurar alguns dos servięos necessarios para se certificar de que estao funcionando 
perfeitamente. O registro emlog do sistema e umdos servięos basicos configurados para Linuxpara 
monitorar o que esta acontecendo no sistema. 

O servięo rsyslog (daemon rsyslogd) fornece os recursos para coletar as mensagens de registro em 
log de aplicativos em execuęao no sistema Linux e direcionar essas mensagens para arquivos de log 
locais, dispositivos ouhosts de logremotos. Aconfiguraęao de rsyslog e semelhante a configuraęao 
de seupredecessor, syslog. Mas rsyslog permite adicionar módulos para mais especificamente 
administrar e direcionar as mensagens de log. 

Ativando o log do sistema com rsyslog 

Amaioria dos arquivos no diretório de /var/loge mantida pelo servięo rsyslog. O daemon 
rsyslogdeode registro emlog do sistema. Ele aceita mensagens de log de varios outros programas e 
grava essas mensagens nos arquivos de log apropriados. Isso e melhor do que ter todos os programas 
gravando diretamente em seu próprio arquivo de log, porque permite que voce gerencie centralmente 




como os arquivos de log sao tratados. 

E posslvel configurar rsyslogd para gravar varios nlveis de detalhe nos arquivos de log. Pode-se 
instrul-lo a ignorar tudo, exceto as mensagens mais criticas ou ele pode registrar em log cada detalhe. 

O daemon rsyslogd pode ate aceitar mensagens de outros computadores emsua rede. Esse recurso de 
log remoto e particularmente util porque permite centralizar o gerenciamento e revisao dos arquivos de 
log de muitos sistemas em sua rede. Ha tambem um importante beneflcio de seguranęa nessa pratica. 

Com o registro em log remoto, se um sistema em sua rede for invadido, o cracker nao pode excluir ou 
modificar os arquivos de log porque eles sao armazenados em um computador separado. E importante 
lembrar, porem, que essas mensagens de log nao sao, por padrao, criptografadas. Qualquer pessoa que 
consiga espionar o trafego de dados da sua rede local pode ler as mensagens que passam de urna maquina 
para outra. Alem disso, embora o cracker possa nao ser capaz de alterar as entradas de log antigas, ele 
pode afetar o sistema de tal forma que as novas mensagens de log podem nao ser confiayeis. 

Nao e incomum executar um servidor de logs dedicado, um computador que nao serve a nenhum 
propósito alem de gravar mensagens de log de outros computadores na rede, porque, como esse sistema 
nao executa nenhum outro servięo, e improvavel que seja invadido. Isso torna quase imposslvel para os 
crackers apagar completamente seus rastros. 

Entendendo o arquivo rsyslog.conf 

O arquivo /etc/rsyslog. conf e o principal arquivo de configuraęao do servięo rsyslog. Se ja 
usou o antigo recurso syslog, voce vai notar que a seęao de regras e a mesma emambos os arquivos. 
Assim, a maneira de definir que tipo de mensagens sao registradas e onde sao registradas e exatamente o 
mesmo; mas os arquivos de configuraęao sao diferentes quanto ao uso de módulos em rsyslog. conf. 

No arquivo /etc/rsyslog. conf, urna seęao de módulos permite incluir ounao recursos espedficos 
emseuseryięo rsyslog. Eis umexemplo da seęao de módulos /etc/rsyslog. conf no Fedora: 

SModload imuxsock t provides support for local system logging (logger 
cnuwmand) 

SModload rmltlog t provides hernel logging supporc (previously done by 
rklogd) 

♦SModLoad immark t provides —MARK— ressage rapajciliry 

t Provides UDr syslog rereption 

$$ModLoad imudp 

♦$UEEServerRun 514 

i Provides TCP syslog reteption 

$£ModLoad imtcp 

$$InpufcTCPServesRun 514 

As enbadas comeęando com $ModLoad carregamos módulos que se seguem Módulos que estao 
atualmente desabilitados sao precedidos por um sinal de jogo da velha (#). O módulo imuxsock e 
necessario para aceitar as mensagens de sistema locais (cuja linha que nao deve ser “comentada” — 
precedida por um sinal de jogo da velha — a menos que voce tenha urna razao espedfica para isso). O 
módulo imklog registra mensagens do kernel. 

Módulos nao habilitados por padrao incluemo módulo immark, que permite que mensagens --MARK- 
- sejamregisbadas emlog (usado para indicar que umseryięo esta ativo). Os módulos imudp e imtcp 
e entradas relacionadas de numero de porta sao usados para permitir que o seryięo rsyslog aceite 
mensagens de log remotas e sao discutidos em mais detalhes na seęao “Configurando e usando um 



servidor de logs comrsyslogd”. 

Amaior parte do trabalho feito no arquivo de configuraęao /etc/rsyslog. conf envolve a 
modificaęao da seęao RULES. Eis umexemplo de algumas das regras na seęao RULES do arquivo 
/etc/rsyslog. conf (notę que, no Ubuntu, voce precisa procurar esse arquivo no diretório 

/etc/rsyslog. d): 

łtt* role s 

# Log ar.yrhing (escept mail) of level info or higher. 
t Don't log privaoe autientication messages! 

*.in£o;mail.nonę;authpriv.none;cron.nonę /var/log/ae5sages 

t The authpriv file haa restzicted acceas. 

authpriv.* /var/log/secure 

t Log all the mail meaaagea in one place. 

mail.* ~/var/log/maillog 

t Log cron sbuff 

cron.* /var/log/cron 

Entradas de regras vememduas colunas. Na coluna esquerda, estao designaęóes das mensagens que sao 
correspondidas e a coluna direita mostra onde entram as mensagens correspondentes. Mensagens sao 
correspondidas combase emrecursos (mail, cron, kern etc.) e prioridade (comeęando emdebug, 
info, notice e subindo ate crit, alert e emerg), separados por umponto (.). Portanto, 
mail. inf o corresponde a todas as mensagens do servięo de e-mail que sao de mvel inf o e acima. 

Quanto ao destino das mensagens, a maioria e direcionada para arquivos no diretório 
/var/log. Mas voce pode direcionar as mensagens para umdispositivo (como /dev 
/console) ouumhost de logremoto @loghost. example . com). O sinal de arroba (@) indica que 
o nome que se segue e o nome do servidor de logs. 

A primeira entrada no exemplo anterior mostra que as mensagens de mvel informativo de todos os 
servięos (*) sao correspondidas por essa regra, comexceęao de mensagens dos servięos mail, 
authpriv e cron (que sao exclmdas com a palavra nonę). Todas essas mensagens correspondidas 
sao direcionadas para o arquivo /var/log/messages. 

Os servięos mail, authpriv (mensagens de autenticaęao) e cron (mensagens do recurso cron ) tern 
seus próprios arquivos de log, como indicado nas colunas a direita deles. Para entender o fermato desses 
e outros arquivos de log, o fermato do arquivo /va r/log/ messa ges e descrito a seguir. 

Entendendo o arquivo de log de mensagens 

Por causa dos muitos programas e servięos que gravaminformaęóes no arquivo de logmessages, 
entender o fermato desse arquivo e importante. \foce pode ser avisado a tempo sobre o desenvolvimento 
de problemas em seu sistema examinando esse arquivo. Cada linha no arquivo e urna unica mensagem 
registrada por algumprograma ou servięo. Eis umtrecho de umarquivo de logmessages real: 

Feb 25 11:04:32 toys networs: Bringir.g up loopbaci ir.terfa:e: succeeded 
Feb 25 11:04:35 boya netvorX: Bringing up :nter£ace ethO: succeeded 
Feb 25 13:01:14 toys vsftpd(paa_uniK)[10565]: authenti:ation failure; 

logname= uid = 0 euid = 0 tby= ruser= rhost=10.0.0.5 user = chris 
Feb 25 14:44:24 toys su(pam unix)[11439]: session opened for 
user root by chris(uid=500) 


As mensagens no arquivo /var/log/messages sao divididas emcinco partes principais. Da esquerda para 
a direita, sao elas: 



■ A data e a hora em que a mensagem foi registrada 

■ O nome do computador de onde a mensagem veio 

■ O nome do programa ou servięo a que a mensagem se refere 

■ O numero do processo (entre colchetes) do programa que enviou a mensagem 

■ A mensagem de texto real 

Examine novamente o trecho do arquivo de log anterior. Nas duas primeiras linhas, voce pode ver que a 
rede foi reiniciada. Apróxima linha mostra que o usuario chamado chris tentou e nao conseguiu 
alcanęar o servidor FTP no sistema a partir de um computador no endereęo 10.0.0.5 (ele digitou a 
senha errada e a autenticaęao falhou). A ultima linha mostra chris usando o comando su para se tornar 
o usuario root. 

Examinando ocasionalmente os arquivos messages e secure, e possivel flagrar urna tentativa de 
invasao antes de ela ter sucesso. Se vir um numero excessivo de tentativas de conexao para um servięo 
especifico, especialmente se eles sao provenientes de sistemas na internet, voce pode estar sob ataque. 

Configu rando e usando umservidordelogscom rsyslogd 

Para redirecionar os arquivos de log de seu computador para orsyslogdde outro computador, voce 
deve fazer alteraęóes tanto no arquivo de configuraęao rsyslog local como no remoto, 
/etc/rsyslog. conf. Torne-se root usando o comando su - e entao abra o arquivo 
/etc/rsyslog. conf emumeditor de texto (como o vi). 

No lado do cliente 

Para enviar as mensagens para outto computador (o servidor de logs) emvez de umarquivo, comece 
substituindo o nome do arquivo de log pelo caractere @ seguido do nome do servidor de logs. Por 
exemplo, para direcionar a salda de mensagens que estao sendo gravadas nos arquivos de log 
messages, secure e maillog para umservidor de logs tambem, adicione as linhas emnegrito ao 
arquivo de mensagens: 

t Log anything (escepc mail) of level in.ro or higher. 
t Don't log private authentication messages! 

* . inf c ; mail. nonę; news . nonę ; aurh.priv. r.one; cron. nonę /var /log/messages 
*.info;nail.nonę;news nonę:authpriv.nonę;cron.nonę dloghost 
t The aurhpriv file has restricted acress. 

authpriv.* /var/log/secure 

authpriv.* gloghost 

t Log all rhe mail messages in one place. 

mail.* “/\*ar/log/maillog 

mail.* '-lojhost 

As mensagens serao agora enviadas para o rsyslogd emexecuęao no computador, chamado loghost 
(servidor de logs). O nome “loghost” nao foi urna escolha arbitraria. E costume criar umnome de 
maquina assime torna-lo um alias para o sistema real agindo como o servidor de logs. Dessa forma, se 
precisar mudar os deveres do servidor de logs para urna maquina diferente, voce só precisa alterar o 
alias do servidor de logs, nao precisa reeditar o arquivo syslog. conf emcada computador. 


No lado do servidor de logs (loghost) 



O servidor de logs que esta configurado para aceitar as mensagens deve ouvir essas mensagens em portas 
padrao (514 UDP, embora tambem possa ser configurado para aceitar mensagens na porta 514 TCP). Eis 
como voce poderia configurar o servidor de logs Linux que tambem esta executando o servięo 

rsyslog: 

■ Edite o arquivo /etc/sysconf ig/rsyslog no sistema loghost e “descomente” (isto e, 

remova o caractere de comentario inicial) as linhas que permitemque o daemon rsyslogd ouęa 
mensagens de log remotas. Descomente as duas primeiras linhas para permitir mensagens de log 
UDP recebidas na porta 514 (padrao); descomente as duas linhas depois disso para permitir 
mensagens que usamo protocolo TCP (tambemporta 514): 

$ModLoad imudp.so 
$UDPServerRun 514 
$ModLoad imtcp.so 
$InputTCPServerRun 514 

■ Abra seu firewall (iptables) para permitir que as novas mensagens sejamdirecionadas para o 

servidor de logs. (Veja o Capitulo 25, “Protegendo o Linux emuma rede”, para ler urna descrięao 
de como abrir portas especificas a firn de permitir o acesso ao seu sistema.) 

■ Reinicie o servięo rsyslog (service rsyslog restart ou systemctl restart 

rsyslog. service). 

■ Se o servięo estiver sendo executado, voce deve ser capaz de ver que o servięo esta ouvindo nas 

portas que voce habilitou (portas 514 UDP e/ou TCP). Execute o comando netstat da seguinte 
forma para ver se o daemon rsyslogd esta ouvindo servięos UDP e TCP nas portas 514 IPv4 e 
IPv6: 

# netstat -tupln | grep 514 

tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEM 

tcp 0 0 :::514 :::* LISTEN 

udp 0 0 0.0.0.0:514 0.0.0.0:* 

udp 0 0 :::514 :::* 

0bservando logs com logwatch 

O servięo logwatch roda na maioria dos sistemas Linux que fazemregistro emlog de sistema com 
rsyslog. Como logs em sistemas ocupados podem se tornar muito grandes ao longo do tempo, nao 
demora muito para que haja muitas mensagens para um administrador de sistema observar cada 
mensagem em cada log. 

O que logwatch faz e recolher urna vez por noite mensagens que parecempoder representar um 
problema, coloca-las em urna mensagem de e-mail e enviar para qualquer endereęo de e-mail que 
administrador escolher. Para habilitar logwatch tudo que voce tema fazer e instalar o pacote 

logwatch. 

O servięo logwatch e executado a partir de umtrabalho cron (01 logwatch) colocado 
em/ etc/cron . daily. O arquivo / etc/logwatch/conf /logwatch . conf contem 
configuraęóes locais. As opęóes padrao utilizadas para coletar mensagens de log sao definidas no 


25341/rsyslogd 

25341/rsyslogd 

25341/rsyslogd 

25341/rsyslogd 



arquivo / usr/share/logwatch/def ault. conf /logwatch . conf. 


Algumas das configuraęóes padrao definem a localizaęao dos arquivos de log (/var/log), a 
localizaęao do diretório temporario (/var/cache/logwatch) e o destinatario de e-mail de 
logwatch diario (o usuario root local). Amenos que voce espere fazer login no servidor para ler 
mensagens logwatch, voce provavelmente vai querer alterar a configuraęao MailTo no arquivo 

/etc/logwatch/conf/logwatch.conf: 

MailTo = chris@example.com 

Examine / usr/share/logwatch/def ault. conf/logwatch . conf para ver outras 
configuraęóes que podem ser modificadas (como o nlvel de detalhe ou o intervalo de tempo para cada 
relatório). Entao, faęa suas adięóes ao arquivo /etc/logwatch/conf/logwatch . conf, como 
mencionado. 

Quando o servięo estiver ativado (o que e feito apenas instalando o pacote logwatch), voce vera urna 
mensagem a cada noite na caixa postał do usuario root. Quando estiver conectado como root, voce pode 
usar o antigo comando mail para ver a caixa postał do usuario root: 

# mail 

Heirloom Mail version 12.4 7/29/08. Type ? for help. 

"/var/spool/mail/root": 2 messages 2 new 

>N 1 logwatch@abc.ex Sun Apr 15 04:02 45/664 "Logwatch for abc 
(Linux )" 

2 logwatch@abc.ex Sun Apr 16 04:02 45/664 "Logwatch for abc 
(Linux )" 

& 1 
& x 

No e-mail, voce deve ver as mensagens de email de logwatch executarema cada dia (aqui as 4:02 
a.m). Digite o numero da mensagem que voce deseja yisualizar e examine-as pagina a pagina, 
pressionando a barra de espaęo, ou linha a linha, pressionando Enter. Digite x para sair quando terminar. 

O tipo de informaęao que voce ve inclui erros de kernel, pacotes instalados, falhas de autenticaęao e mau 
funcionamento de servięos. O uso do espaęo em disco e relatado, assimvoce pode ver se seu 
armazenamento esta se enchendo. Só de olhar essa mensagem de logwatch, voce deve ter urna ideia se 
ataques sustentados estao em andamento ou se algumas falhas repetidas estao ocorrendo. 


Verificando recursos do sistema com sar 


O System Activity Reporter (sar) e urna dos mais antigos recursos de monitoramento do sistema criados 
para os primeiros sistemas UNIX — precedendo o Linux por algumas decadas. O comando sar sozinho 
pode exibir a atividade do sistema continuamente na tela, a intervalos definidos (a cada um ou dois 
segundo). Ele tambempode exibir dados de atividade do sistema que foram coletados anteriormente. 




O comando sar e parte do pacote sysstat. Ao instalar sysstate habilitar o servięo sysstat, 
seu sistema imediatamente comeęa a coletar dados de atividades do sistema que podem ser analisados 
posteriormente utilizando certas opęóes do comando sar. Acoleta de dados e feita por umarquivo de 
configuraęao crontab (/etc/cron . d/sysstat), que e carregado emintervalos regulares. De urna 
olhada no que o arquivo contem: 

# cat /etc/cron.d/sysstat 

# Run system activity accounting tool every 10 minutes 
*/10 * * * * root /usr/lib64/sa/sal -S DISK 1 1 

| 0 * * * * root /usr/lib64/sa/sal -S DISK 600 6 & 

# Generate a daily summary of process accounting at 23:53 
53 23 * * * root /usr/lib64/sa/sa2 -A 

Aprimeira linha descomentada roda o comando sal -S DISK 1 la cada 10 minutos. Esse comando 
sal coleta informaęóes de atividade emdisco e outras informaęóes apenas urna vez (a cada segundo) e 
as copia para o arquivo /var/log/sa/sa? ?, emque ?? e substituido pelo dia atual. O comando 
sa2 -A reune todos os dados coletados ate esse ponto no dia (as 11:23 p.m.) e os coloca no arquivo 
/var/log/sa/sar??, emque ?? e substituido pelo dia atual. 

Para ler os dados nos arquivos sa??e sar??, voce pode usar alguns dos seguintes comandos sar: 

t sar -u | less 

Linujc 2.6.32-220.7.1.el6.x86_64 (»ybox) 04/17/2012 _x56_64_ (4 CPU) 

12:00:01 AM CPU łuser %r.i:e ^system łicwait «:teal ś-dle 

12:10:01 AM all 6.45 0.00 0.62 0.55 0.00 92.12 

12:20:01 AM all 6.50 0.00 0.76 0.82 0.00 51.51 

Aopęao -u mostra o uso da CPU. Por padrao, a saida comeęa a meia-noite do dia atual e, entao, mostra 
quanto tempo de processamento esta sendo consumido por diferentes partes do sistema. A saida continua 
a mostrar a atividade a cada 10 minutos, ate que a hora atual seja alcanęada. 

Para ver a saida da atividade de disco, execute o comando sar -d. Novamente, a saida ocorre em 
intervalos de 10 minutos a partir de meia-noite. 
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Se quiser executar relatórios de atividade “ao vivo” de sar, voce pode fazer isso adicionando contagens 
e intervalos de tempo a linha de comando. Por exemplo: 

# sar -n DAV 5 2 

L±nux 2.6.32-220.7.l.el6.xB6_64 (cnegus.csb) 04/17/2012 _x=6_€4_ <4 CPU) 
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Com o exemplo de -n Dev que acabamos de mostrar, voce pode ver quanta atividade ocorre nas 
diferentes interfaces de rede em seu sistema. \bce pode ver quantos pacotes e quantos KB de dados 
foram transmitidos e recebidos. Nesse exemplo, amostras de dados foram realizadas emintervalos de 5 
segundos e repetidas duas vezes. 

Consulte as paginas man de sar, sal e sa2 para obter mais informaęóes sobre como os dados de sar 
podem ser coletados e exibidos. 

Verificando o espaęo do sistema _ 

Enquanto logwatch pode fornecer um instantaneo diario do consumo de espaęo emdiscos de seu 
sistema, os comandos df e du podem ajuda-lo a imediatamente ver quanto espaęo em disco esta 
dispomyel. As seęóes a seguir mostram exemplos desses comandos. 


Exibindo espaęo em disco do sistema com df 

\bce pode exibir o espaęo disponivel em seu sistema de arquivos usando o comando df . Para ver a 
quantidade de espaęo disponivel em todos os sistemas de arquivos montados em seu computador Linux, 
digite df semopęóes: 

$ df 

Filssysten lk-bloci-cs Used Available Use% Mcunted on 

/dev/sda3 30645460 2958356 26130408 11% / 

/dev/sda2 46668 8340 35919 19% /boot 

Essa saida de exemplo mostra o espaęo disponivel na partięao do disco rigido montado no diretório / 
(root) (/dev/sdal) e da partięao /boot (/dev/sda2). O espaęo em disco e mostrado emblocos de 
1KB. Para produzir urna saida mais legivel, use a opęao -h: 

$ df -h 

Filssysten Size Used Avail Use% Mounted on 

/dev/sda3 29G 2.9G 24G 11% / 

/dev/sda2 46M 8.2M 25M 19% /boot 

Com a opęao df -h, a saida aparece em urna amistosa listagem em megabytes ou gigabytes. Outras 
opęóes com df permitem fazer o seguinte: 

■ Imprimir apenas sistemas de arquivos de umtipo especifico (-t type) 

■ Excluir sistemas de arquivos de umdeterminado tipo (-x type) 




■ Incluir sistemas de arquivos que nao tem espaęo, como /proc e /dev/pts (-a) 

■ Listar apenas inodes disponiveis e usados (-i) 

■ Mostrar espaęo emdisco emcertos tamanhos de bloco (--block-size=#) 

Verificando o uso do disco com du 

Para saber quanto espaęo esta sendo consumido por um determinado diretório (e seus subdiretórios), use 
o comando du. Semopęóes, du lista todos os diretórios abaixo do diretório atual, juntamente como 
espaęo consumido por cada diretório. No finał, du exibe o espaęo em disco total utilizado dentro dessa 
estrutura de diretórios. 

O comando du e urna boa maneira de verificar quanto espaęo esta sendo usado por um determinado 
usuario (du /home/userl) ou em urna partięao especifica do sistema de arquivos (du /var). Por 
padrao, o espaęo em disco e exibido emblocos de 1KB. Para tornar a saida mais amigavel (em 
kilobytes, megabytes e gigabytes), use a opęao -h como segue: 

$ du -h /home/jake 

114k /home/jake/httpd/stuff 

234k /home/jake/httpd 

137k /home/jake/uucp/data 

701k /home/jake/uucp 

1.OM /home/jake 

O resultado mostra o espaęo em disco utilizado em cada diretório sob o diretório inicial do usuario 
chamado Jake (/home/jake). O espaęo em disco consumido e mostrado em kilobytes (k) e megabytes 
(M). O espaęo total consumido por /home/jake e mostrado na ultima linha. Adicione a opęao -s para 
ver o espaęo em disco total utilizado para um diretório e seus subdiretórios. 

Descobrindo o consumo em disco com find 

O comando find e urna ótima maneira de encontrar o consumo de arquivo de seu disco rigido, usando 
urna variedade de criterios. \bce pode ter urna boa ideia do local onde o espaęo em disco pode ser 
recuperado localizando arquivos acima de um certo tamanho ou que foram criados por urna pessoa 
particular. 


ta 

deve ser o usuario root para executar esse comando efetivamente, a menos que voce esteja apenas verificando 
arquivos pessoais. Se voce nao for o usuario root, havera muitos lugares no sistema de arquivos que voce nao 
permissao para verificar. Os usuarios regulares normalmente podem verificarseus próprios diretórios iniciais, mas 
as dos outros. 






No exemplo a seguir, o comando f ind pesąuisa o sistema de arquivos raiz (/) embusca de todos os 
arquivos de propriedade do usuario chamado Jake (-user j ake) e imprime o nome dos arquivos. A 
saida do comando f ind e organizada emuma listagempor ordemde tamanho (ls -ldS). Por firn, essa 
saida e enviada para o arquivo /tmp/ j ake. Quando voce visualizar o arquivo /tmp/ j ake (por 
exemplo, less /tmp/j ake), voce vai encontrar todos os arquivos que sao de propriedade do usuario 
jake listados por ordemde tamanho. Eis a linha de comando: 

# find / -xdev -user jake -print | xargs ls -ldS > /tmp/jake 


:a 

ęao -xdev impede que outros sistemas de arquivos sejam pesquisados. Essa e uma boa maneira de cortar um 
:e de lixo que pode ser a saida do sistema de arquivos /proc. Isso tambem pode evitar que grandes sistemas 
quivos remotamente montados sejam pesquisados. 


Eis outro exemplo, só que emvez de examinar arquivos de um usuario, estamos a procura de arquivos 
maiores que 100 kilobytes (- s i z e +100 k): 

# find / -xdev -size +100k -print | xargs ls -ldS > /tmp/size 

\foce pode economizar uma grandę quantidade de espaęo em disco removendo apenas alguns arquivos 
maiores que nao sao mais necessarios. Nesse exemplo, voce pode ver que arquivos grandes sao 
classificados por tamanho no arquivo / tmp/size. 


Resumo 


Embora muitos tipos diferentes de servidores estejamdisponiveis em sistemas Linux, o procedimento 
basico para a instalaęao e configuraęao de um servidor e essencialmente o mesmo. O curso normal dos 
eventos e instalar, configurar, iniciar, proteger e monitorar seus servidores. Tarefas basicas que se 
aplicama todos os servidores incluemo uso de ferramentas de rede (especialmente ferramentas SSH) 
para efetuar o login, copiar arquivos ou executar comandos remotos. 

Como um administrador nao pode ficar conectado para monitorar servidores o tempo todo, mais tarde, as 
ferramentas de coleta de dados e analise dos dados de registro em log sao muito importantes na 
administraęao de servidores Linux. A instalaęao rsyslog pode ser utilizada para o registro emlog 
local e remoto. O recurso sar reune dados ao vivo ou reproduz dados coletados anteriormente em 
intervalos de 10 minutos. Para monitorar o espaęo em disco, voce pode executar os comandos df e du. 

Embora seja facil configurar a rede para alcanęar seus servidores emcasos simples e padróes, uma 
configuraęao de rede mais complexa requer um conhecimento dos arquivos de configuraęao de rede e 
ferramentas relacionados. O próximo capitulo descreye como configurar e administrar redes no Linux. 








Exercicios 


Os exerricios desta seęao abordam algumas das ferramentas basicas para conectar-se e monitorar seus 
servidores Linux. Como de costume, muitas vezes ha varias maneiras de realizar as tarefas aqui. Entao, 
nao se preocupe se voce nao acompanhar os exercicios da mesma maneira mostrada nas respostas, desde 
que voce obtenha os mesmos resultados. Se voce empacar, as soluęóes para as tarefas sao mostrados no 
Apendice B. 

Alguns dos exercicios pressupoem que voce tem um segundo sistema Linux dispomvel em que pode fazer 
login e experimentar diferentes comandos. Nesse segundo sistema, voce precisa ter certeza de que o 
servięo sshd esta emexecuęao, que o firewall esta aberto e que o ssh esta habilitado para a conta de 
usuario que voce esta tentando acessar (root costuma ser bloqueado por sshd). 

Se tiver apenas um sistema Linux, voce pode criar urna conta de usuario adicional e simplesmente 
simular a comunicaęao comoutro sistema, conectando-se ao nome localhost emvez de ao outro 
sistema. Por exemplo: 

# useradd joe 

# passwd joe 

# ssh joe@localhost 

L Usando o comando ssh, faęa login em outro computador (ou o computador local) usando 
qualquer conta a que voce tem acesso. Digite a senha quando solicitado. 

2 - Usando execuęao remota como comando ssh, exiba o conteudo de umarquivo 
/etc/system-release remoto e exiba seu conteudo no sistema local. 

3 - Use o comando ssh para usar o encaminhamento XII a firn de exibir urna janela gedit 
em seu sistema local; entao, salve um arquivo no diretório inicial do usuario remoto. 

4 - Copie recursivamente todos os arquivos do diretório /usr/share/selinux emum 
sistema remoto para o diretório / tmp em seu sistema local de tal maneira que todas as 
datas/horas de modificaęao nos arquivos sejamatualizados para a data/hora do sistema 
local quando eles forem copiados. 

5 - Copie recursivamente todos os arquivos do diretório /usr/share/logwatch, emum 
sistema remoto, para o diretório / tmp, em seu sistema local, de tal maneira que todas as 
datas/horas de modificaęao nos arquivos do sistema remoto sejammantidas no sistema 
local. 

6 - Criar umpar de chaves publica/privada para usar para comunicaęóes SSH (sem senha na 
chave), copie o arquivo de chave publica para a conta de um usuario remoto comssh- 
copy-id e use autenticaęao baseada emchave para fazer login nessa conta do usuario sem 
ter de digitar urna senha. 

7 - Crie urna entrada em /etc/rsyslog . conf que armazene todas as mensagens de 
autenticaęao (authpriv) de nivel informativo e acima emumarquivo chamado 
/var/log/myauth. Apartir de um terminal, monitore o arquivo a medida que dados 




cheguema ele e, emoutro terminal, tente se conectar usando ssh emsua maąuina local 
como qualquer usuario valido, com urna senha incorreta. 

8 - Use o comando du para determinar as maiores estruturas de diretórios sob /usr/share, 
classifique os diretórios do maior para o menor e listę os dez primeiros desses diretórios 
em termos de tamanho. 

9 - Use o comando df para mostrar o espaęo que esta emuso e o espaęo disponivel de todos 
os sistemas de arquivos atualmente conectados ao sistema local, mas exclua quaisquer 
sistemas de arquivos tmpf s ou devtmpf s. 

10 - Encontrar todos os arquivos no diretório /usr que temmais de 10 MB. 



Administrandoredes 


CAPITU^ 


NESTE CAPITULO 

Conectando-se automaticamente a uma rede Linux 

Usando o NetworkManager para conectividade de rede simples 

Configurando servidores 

Trabalhando com arquivos de configuraęao de rede 

Configurando roteamento, DHCP, DNS e recursos de infraestrutura de redes para a empresa 

C onectar um unico sistema desktop ou laptop a uma rede, especialmente uma que se conecta a 

internet, tornou-se tao facil que achei que poderia adiar um capitulo inteiro sobre redes Linux para 
ate este ponto no livro. Se voce esta tentando conectar um sistema desktop Fedora, RHEL, Ubuntu 
ou outro sistema desktop Linux a internet, eis o que voce pode tentar, tendo disponivel uma płaca de rede 
com ou semfio: 

■ Rede com fio — Se sua casa ou escritório tern uma porta Ethernet com fio que fornece um caminho 
para a internet e seu computador tern uma porta Ethernet, use um cabo Ethernet para conectar as 
duas portas. Depois de conectar o computador, inicialize o Linux e faęa login. Clicar no icone 
NetworkManager no desktop deve mostrar-lhe que voce esta conectado a internet. 

■ Rede sem fio — Para um computador sem fio executando Linux, faęa o login e clique no icone 
NetworkManager no desktop. A partir da lista de redes sem fio que aparecem, selecione a que 
voce quer e, quando solicitado, digite a senha necessaria. Sempre que voce fizer login a partir 
desse computador e a partir do mesmo local, ele se conectara automaticamente a rede sem fio. 

Se um desses tipos de conexdes de rede funciona para voce e voce nao tern curiosidade sobre como a 
rede funciona em Linux, isso pode ser tudo o que precisa saber. Mas e se seu sistema Linux nao se 
conectar automaticamente a internet? E se voce quiser configurar seu desktop para se comunicar com uma 
rede privada no trabalho (VPN)? E se voce quiser bloquear as configuraęóes de rede em seu servidor ou 
configurar o sistema Linux para funcionar como um roteador? 

Neste capitulo, os temas relacionados com a rede sao divididos em rede para desktops, servidores e 
computaęao corporativa. A abordagem geral para a configuraęao de rede nesses tres tipos de sistemas 
Linux e como segue: 



■ Rede desktop/laptop — Em sistemas desktop, o NetworkManager e executado por padrao para 

gerenciar placas de rede. Como NetworkManager, voce pode aceitar automaticamente o 
endereęo do servidor e as informaęóes necessarias para se conectar a internet. Mas voce tambem 
pode definir informaęóes de endereęo manualmente. \bce pode configurar coisas como 
servidores proxy ou conex5es de rede virtual privada para permitir que seu desktop funcione 
atras de umfirewall da organizaęao ou se conecte por meio de umfirewall, respectivamente. 

■ Servidor de rede — Embora o NetworkManager seja um excelente servięo para configuraęao de 

rede desktop e laptop, ele nao funciona tao bem em servidores. Para configurar urna rede em 
servidores, descrevo como usar o servięo de rede basica no Red Hat Enterprise, incluindo a 
configuraęao de aliases e ligaęao de canal Ethernet, bem como a forma de usar os arquivos de 
configuraęao de rede subjacentes diretamente. 

■ Rede corporativa — A configuraęao de rede em urna grandę empresa e um assunto tao vasto que 

pode ocupar varios livros por si só. Mas para dar-lhe urna boa introduęao no uso do Linux em um 
ambiente corporativo, discuto tecnologias de rede basicas, tais como DHCP e DNS, que tornam 
possivel que sistemas de desktop se conectem a internet automaticamente. 

Configurando uma rede para desktops _ 

Se voce se conectar a internet a partir do Linux, Windows, um smartphone ou qualquer outro tipo de 
dispositivo habilitado para rede, ha certas coisas que devemestar no lugar para que a conexao funcione. 
O computador deve ter uma płaca de rede (com ou sem fio), um endereęo IP, um servidor DNS atribuido 
e uma rota para a internet (identificada por um dispositivo do tipo gateway). 

Antes de discutir como mudar sua configuraęao de rede em Linux, vamos examinar as atividades gerais 
que ocorrem quando o Linux e configurado para se conectar automaticamente a internet com o 
NetworkManager: 

■ Ativaęao das placas de rede — O NetworkManager procura ver quais placas de rede (com ou 

sem fio) estao configuradas para iniciar. Por padrao, as placas externas sao configuradas para 
iniciar automaticamente usando DHCP. 

■ Solicitaęao do servięo DHCP — O sistema Linux atua como um cliente DHCP para enviar uma 

solicitaęao ao servięo DHCP em cada płaca habilitada. Ele usa o endereęo MAC da płaca de 
rede para identificar-se na solicitaęao. 

■ Obtenęao da resposta do servidor DHCP — Um servidor DHCP, possivelmente em execuęao no 

modem DSL, modem a cabo ou outro dispositivo fornecendo uma rota para a internet a partir de 
sua localizaęao, responde a solicitaęao DHCP. Ele pode fornecer muitos diferentes tipos de 
informaęao para o cliente DHCP. Essas informaęóes provavelmente contem, pelo menos, o 
seguinte: 

■ Endereęo IP — O servidor DHCP normalmente temintervalo de endereęos IP (internet 
Protocol) que ele pode entregar a qualquer sistema na rede que solicita um endereęo. Em 
ambientes mais seguros ou um em que voce quer garantir que determinadas maquinas obtenham 
endereęos especificos, o servidor DHCP fornece um endereęo IP especial para solicitaęóes de 




endereęos MAC espedficos. (Endereęos MAC sao projetados para serem unicos entre todas as 
interfaces de placas de rede e sao atribmdos pelo fabricante de cada płaca.) 

■ Mascara de sub-rede — Quando o cliente DHCP recebe um endereęo IP, a mascara de sub-rede 

que o acompanha diz a esse cliente qual parte do endereęo IP identifica a sub-rede e qual 
identifica o host. Por exemplo, um endereęo IP de 192.168.0.100 e urna mascara de sub-rede de 
255.255.255.0 diz ao cliente que a rede e 192.168.0 e a parte de host e 100. 

■ Alocaęao de tempo — Quando um endereęo IP e alocado dinamicamente para o cliente DHCP 

(Linux), esse cliente recebe um tempo de alocaęao. O cliente nao possui endereęo, mas deve 
aloca-lo novamente quando o tempo expirar e solicita-lo novamente ao reiniciar a płaca de 
rede. Normalmente, o servidor DHCP vai se lembrar do cliente e atribuir o mesmo endereęo 
quando o sistema for iniciado novamente ou solicitar para renovar a alocaęao. O tempo de 
alocaęao padrao e 86.400 segundos (24 horas). 

■ Domain Name Server — Como os computadores gostam de pensar em numeros (por exemplo, 

endereęos IP como 192.168.0.100) e as pessoas tendema pensar emnomes (como o hostname 
http : / /www. example . com), os computadores precisam de urna maneira de traduzir 
hostnames em endereęos IP e, as vezes, o inverso tambem O sistema de nomes de domlnio 
(domain name system, DNS) foi projetado para lidar com esse problema, fornecendo urna 
hierarquia de servidores para fazer o mapeamento de nome para endereęo na internet. A 
localizaęao de umoumais servidores DNS (geralmente dois outres) e geralmente atribulda ao 
cliente DHCP do host DHCP. 

■ Gateway padrao — Embora a internet tenha um espaęo de nomes unico, na yerdade ela e 

organizado como urna serie de sub-redes interconectadas. Para urna solicitaęao de rede deixar 
sua rede local, ela deve saber o nó em que sua rede fornece urna rota para endereęos fora de 
sua rede local. O seryidor DHCP normalmente fornece o endereęo IP do “gateway padrao”. 
Com placas de rede na sua sub-rede e na próxima rede no caminho ate o destino finał de sua 
comunicaęao, um gateway pode rotear seus pacotes para o destino. 

■ Outras informaęoes — Um seryidor DHCP pode ser configurado para fornecer todo tipo de 

informaęao para aj udar o cliente DHCP. Por exemplo, ela pode fornecer a localizaęao de um 
seryidor NTP (para sincronizar o tempo entre clientes), seryidor de fontes (para obter fontes 
para seu monitor X), seryidor de IRC (para bate-papos Online) ou seryidor de impressao (para 
designar as impressoras disponiveis). 

■ Atualizaęao das configuraęoes de rede local — Depois que as configuraęóes sao recebidas a 
partir do seryidor DHCP, elas sao implementadas conforme apropriado no sistema Linux local. 
Por exemplo, o endereęo IP e definido na płaca de rede, as entradas do seryidor DNS sao 
adicionadas ao arquivo local /etc/resolv. conf (pelo NetworkManager) e o tempo de 
alocaęao e armazenado pelo sistema local, assimele sabe quando solicitar que a alocaęao seja 
renovada. 

Todos os passos acima descritos tipicamente acontecem sem que voce precise fazer nada alem de 
conectar o sistema Linux e fazer login. Digamos que voce quer ser capaz de yerificar as placas de rede 
ou alterar alguma dessas configuraęóes. \bce pode fazer isso usando as ferramentas descritas nas 
próximas seęóes. 



Verificando suas placas de rede 

Ha tanto ferramentas graficas como ferramentas de linha de comando para yisualizar informaęóes sobre 
as placas de rede no Linux. Apartir do desktop, as ferramentas NetworkManager sao umbomlugar para 
comeęar. 

Verificandosua rede a partirdo NetworkManager 

A maneira mais facil de verificar a configuraęao basica de urna płaca de rede iniciada pelo 
NetworkManager e abrir o icone do NetworkManager em seu desktop. A Figura 14.1 mostra um exemplo 
do icone NetworkManager no painel superior de um desktop GNOMĘ 3 no Fedora, juntamente com a 
janela que aparece quando voce abre o icone. 



RA 14.1 


cando as placas de rede com o NetworkManager 


Como voce pode ver na Figura 14.1, a conexao de rede comfio esta ativa. A płaca de rede possui um 
endereęo MAC (Media Access Control) 00:1B21:0A:E8:5E. A płaca recebeu o endereęo IP 
192.168.0.119 e a mascara de sub-rede 255.255.255.0. 

Qualquer pacote nao destinado a rede local, e enviado para o roteador localizado no endereęo 
192.168.0.1 (embora outras vias possamser definidas conforme necessario). Tres servidores DNS estao 
disponiveis (192.152.128.23, 192.168.1.254 e 192.168.0.1); portanto, se umnao estiver disponivel, as 
solicitaęóes de servięo de DNS podem ser direcionadas para o próximo endereęo do servidor DNS na 
lista. 

Para ver mais sobre como o sistema Linux esta configurado, cliąue no botao Configure na janela 
NetworkManager. A Figura 14.2 mostra umexemplo da janela que aparece. 




RA 14.2 


lizando as configuraęóes de rede com o NetworkManager 


A figura 14.2 mostra a guia IPv4 Settings, porque essa e a guia que contem informaęóes que mais 
provavelmente voce vai querer modificar. A configuraęao Automatic (DHCP) e a que diz a essa płaca 
para conectar ao DHCP na inicializaęao; portanto, talvez voce queira mudar isso para definir 
manualmente as informaęóes de IPv4. O guia IPv6 define como sao feitas as conexdes com redes IPv6 a 
partir dessa płaca (tambem Automatic, por padrao). Mais tarde, neste capitulo, voce aprendera a 
configurar manualmente placas de rede IPv4. 

A guia 802.1 Security permite configurar conex5es seguras comsistemas remotos utilizando as 
especificaęóes 802.lx do padrao IEEE. Por padrao, esse recurso esta desativado, mas voce pode ativa-lo 
e, entao, identificar os hosts remotos a que voce quer se conectar usando protocolos seguros. A ultima 
guia na janela e Wired or Wireless, ela permite que voce altere o endereęo MAC (normalmente nao e 
urna boa ideia) e o MTU (que e definido como automatico, mas pode ser alterado para modificar o 
tamanho maximo de pacote que a conexao pode enviar). 

Verificando sua rede a partir da linha de comando 

Para obter informaęóes mais detalhadas sobre as placas de rede, tente executar alguns comandos. Ha 
comandos que podemmostrar informaęóes sobre as placas de rede, rotas, hosts e trafego na rede. 

Visualizando placas de rede 

Para ver informaęóes sobre cada płaca de rede em seu sistema local Linux, digite o seguinte: 

# ip addr show 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noąueue State UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

2: ethO: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 ądisc 
pfifo_fast 

State DOWN qlen 1000 

link/ether f0:de:f1:28:46:d9 brd ff:ff:ff:ff:ff:ff 

3: wlanO: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq State 
UP 

qlen 1000 

link/ether 00:24:d7:69:5b:2c brd ff:ff:ff:ff:ff:ff 
inet 192.168.0.105/24 brd 192.168.0.255 scope global wlanO 
inet6 fe80::224:d7ff:fe69:5b2c/64 scope link 
valid lft forever preferred lft forever 




A saida de ip addr show exibe informaęóes sobre as placas de rede, neste caso, de umlaptop 
rodando RHEL. Os nomes das placas de rede sao diferentes no Fedora (mais sobre isso depois), mas, 
fora isso, o resto deve ser semelhante. Aentrada lo na primeira linha da saida mostra a płaca de 
loopback (autorretorno), que e utilizada para permitir que os comandos de rede sejamexecutados no 
sistema local para se conectar ao sistema local. O endereęo IP para localhost e 127.0.0.1/8 (o /8 e a 
notaęao CIDR, indicando que 127.0 e o numero de rede e 0.1 e o numero do host). 

Nesse caso, a płaca Ethernet (ethO) comfio esta inativa (semcabo), mas a płaca semfio esta ativa 
(wian). O endereęo MAC da płaca wireless (wlanO) e 00:24:d7:69:5b:2c e o endereęo internet (IPv4) 
e 192.168.0.105. Um endereęo IPv6 tambeme ativado. 

No Fedora, emvez de atribuir nomes de płaca de rede, como ethO e wlanO, as placas sao nomeadas 
por suas localizaęóes no barramento do computador. Por exemplo, a primeira porta na płaca de rede 
instalada no terceiro barramento PCI de um sistema Fedora e nomeada como p3pl. A primeira porta 
Ethernet interna seria eml. As vezes, placas semfio aparecemusando o nome da rede semfio como o 
nome do dispositivo. 

Outro comando popular para ver informaęóes sobre placas de rede e o ifconfig. Por padrao, 
if config mostra informaęóes semelhantes as de ip addr, mas if config tambem mostra o numero 
de pacotes recebidos (RX) e transmitidos (TX), bem como a quantidade de dados e quaisquer erros ou 
perda de pacotes: 

# ifconfig wlanO 

wlanO Link encap:Ethernet HWaddr 00:24:D7:69:5B:2C 

inet addr:192.168.0.105 Bcast:192.168.0.255 Mask:255.255.255.0 
inet6 addr: fe80::224:d7ff:fe69:5b2c/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:22482 errors:0 dropped:0 overruns:0 framę:0 
TX packets:9699 errors:0 dropped:0 overruns:0 carrier:0 
coliisions:0 txqueuelen:1000 

RX bytes:9456897 (9.0 MiB) TX bytes:1232234 (1.1 MiB) 

Veńficando a conectividade com sistemas remotos 

Para se certificar de que voce pode chegar a sistemas que estao disponiveis na rede, voce pode usar o 
comando ping. Desde que o computador responda a solicitaęóes de ping (nemtodos respondem), voce 
pode usar esse comando para enviar pacotes para esse sistema de urna maneira que ele seja solicitado a 
responder. Eis umexemplo: 

$ ping 

publ.kernel.org 

PING publ.kernel.org (149.20.20.133) 56(84) bytes of data. 

64 bytes from publ.kernel.org (149.20.20.133): icmp_seq=l ttl=64 
time=0.062 ms 

64 bytes from publ.kernel.org (149.20.20.133): icmp_seq=2 ttl=64 
time=0.044 ms 



- publ.kernel.org ping statistics - 

2 packets transmitted, 2 received, 0% packet loss, time 1822ms 
rtt min/avg/max/mdev = 0.044/0.053/0.062/0.009 ms 

O comando ping mostrado acima simplesmente “pinga” continuamente o host publ. kernel. org. 
Depois de alguns pings, pressione Ctrl+C para acabar com os pings e as ultimas linhas mostram ąuantas 
solicitaęóes de ping forambem-sucedidas. 

\bce poderia ter usado o endereęo IP (192.168.0.15, nesse caso) para ver a possibilidade de alcanęar o 
sistema. Mas usar o nome lhe da a vantagem adicional de saber que sua traduęao de nome para endereęo 
IP (que esta sendo feita pelo seu servidor DNS ou o arquivo hosts local) esta funcionando corretamente 
tambem. 

Verificando as informaęóes de roteamento 

O roteamento e a próxima coisa que voce pode verificar comrelaęao a suas placas de rede. Eis como 
usar o comando route para fazer isso: 

# route 

Kernel IP routing table 

Cestination Gateway Genmask Flags Metric Ref Use Iface 

default 192.168.0.1 0.0.0.0 UG 0 0 0 p4pl 

192.168.0.0 * 255.255.255.0 U 1 0 0 p4pl 

A salda da tabela de roteamento do kernel e de um sistema Fedora com urna unica płaca de rede. A płaca 
de rede esta no slot PCI 4, porta 1 (p4pl). Todos os pacotes destinados a rede 192.168.0 utilizam a płaca 
de rede p4pl. Pacotes destinados a qualquer outro local sao encaminhados para o sistema de gateway em 
192.168.0.1. Esse sistema representa meu roteador para a internet. Eis urna tabela de roteamento mais 
complexa: 


# route 

Kernel IP rout 

Cestination 

ing table 
Gateway 

Genmask FI 

.ag3 

Metric Ref 

Use 

Iface 

vpn-a. exar.pl e. 

192.168.0.1 

255.255.255.255 UGH 

0 

0 

0 

wlanO 

192.168.0.0 

* 

255.255.255.0 U 

2 

0 

0 

wlanO 

10.99.8.0 

* 

255.255.255.0 U 

0 

0 

0 

tunO 

172.1.0.0 

* 

255.255.0.0 U 

0 

0 

0 

tunO 

10.0.0.0 

* 

255.0.0.0 U 

0 

0 

0 

tunO 

192.168.99.0 

192.168.0.2 

255.255.255.0 UG 

0 

0 

0 

wlanO 

default 

192.168.0.1 

0.0.0.0 UG 

0 

0 

0 

wlanO 


No exemplo de roteamento mostrado acima, ha urna płaca sem fio (wlanO), bem como urna płaca que 
representa um tunel de rede privada virtual (VPN). Urna VPN fornece urna maneira de ter comunicaęóes 
privadas criptografadas entre um cliente e urna rede remota atraves de urna rede insegura (como a 
internet). Aqui, o tunel vai do sistema local pela płaca wlanO para um host chamado vpn- 
a . example . com (parte do nome esta truncada). 

Toda a comunicaęao com a rede 192.168.0.0/24 ainda passa diretamente pela rede local sem fio. Mas os 
pacotes destinados as redes 10.99.8.0/24, 172.1.0.0/16 e 10.0.0.0/8 sao encaminhados diretamente para 
vpn-a . example . com para comunicaęao com os hosts do outro lado da conexao VPN atraves da 
płaca tunelada (tunO). 

Urna rota especial para a rede 192.168.99.0 e acessivel por meio do nó (presumivelmente um roteador) 
no endereęo IP 192.168.0.2. Todos os outros pacotes vao para a rota padrao por meio do endereęo 



192.168.0.1. Como ocorre comos flags (sinalizadores) mostrados na salda, umU (up) informa que a rota 
esta ativa, um G identifica a płaca como um gateway e um H diz que o alvo e um host (como e o caso com 
a conexao VPN). 

Ate agora, só lhe mostrei as rotas para deixar o sistema local. Se quiser seguir toda a rota de umhost do 
comeęo ao firn, voce pode usar o comando traceroute. Por exemplo, para traęar a rota que umpacote 
leva de seu sistema local ate o site Google.com, digite o seguinte comando traceroute: 

# traceroute google.com 

traceroute to google.com (74.125.235.136), 30 hops max, 60 byte 
packets 

7 rrcs-70-62-95-197.midsouth.biz.rr.com (70.62.95.197) ... 

8 ge-2-l-0.rlghncpop-rtrl.southeast.rr.com (24.93.73.62) ... 

9 ae-3-0.cr0.dcal0.tbone.rr.com (66.109.6.80) ... 

10 107.14.19.133 (107.14.19.133) 13.662 ms ... 

11 74.125.49.181 (74.125.49.181) 13.912 ms ... 

12 209.85.252.80 (209.85.252.80) 61.265 ms ... 

13 66.249.95.149 (66.249.95.149) 18.308 ms ... 

14 66.249.94.22 (66.249.94.22) 18.344 ms ... 

15 72.14.239.83 (72.14.239.83) 85.342 ms ... 

16 64.233.174.177 (64.233.174.177) 167.827 ms ... 

17 209.85.255.35 (209.85.255.35) 169.995 ms ... 

18 209.85.241.129 (209.85.241.129) 170.322 ms ... 
19nrtl9sll-in-f8.lel00.net (74.125.235.136) 169.360 ms ... 

Eu trunquei parte da salda para descartar algumas das rotas iniciais e a quantidade de tempo (em 
milissegundos) que os pacotes estavamlevando para percorrer cada rota. Usando traceroute, voce 
pode ver quais sao os gargalos ao longo do caminho, se sua comunicaęao de rede estiver ficando lenta. 

Visualizando os nomes de host e de domfnio 

Para ver o hostname atribuldo ao sistema local, digite hostname. Para ver apenas a parte do dominio 
desse nome, use o comando dnsdomainname. 

# hostname 

spike.example.com 

# dnsdomainname 

example.com 


Configurar interfaces de rede 

Se nao quiser ter suas placas de rede atribuidas automaticamente a partir de um servidor DHCP (ou se 
nao houver nenhum servidor DHCP), voce pode atribuir endereęos IP e informaęóes relacionadas usando 
endereęos IP estaticos e outras informaęóes necessarias para seu computador funcionar corretamente na 




rede. Amaioria dessas informaęóes basicas podemser configuradas usando o NetworkManager. 

Para alterar a configuraęao de rede por meio do NetworkManager, faęa o seguinte: 

Selecione o icone do NetworkManager no painel superior do desktop e escolha NetWork Settings. 

2 - Selecione a płaca que pretende alterar (com ou sem fio) e clique no botao Configure. 

3 - Escolha IPv4 Settings e altere o metodo de Automatic (DHCP) para Manuał. 

4 - Selecione Add e preencha as seguintes informaędes: 

■ Address — O endereęo IP que voce deseja atribuir a sua płaca de rede local. Por exemplo, 

192.168.0.40. 

■ Netmask — A mascara de sub-rede que define qual parte do endereęo IP representa a rede e 

qual representa o hospedeiro. Por exemplo, urna mascara de rede de 255.255.255.0 
identificaria a parte rede do endereęo anterior como 192.168.0 e a parte host como 40. 

■ Gateway — O endereęo IP do computador ou dispositivo na rede que funciona como a rota 

padrao. A rota padrao roteara pacotes da rede local para qualquer endereęo que nao esta 
disponivel na rede local ou via outra rota personalizada. 

■ DNS servers — Preencha os endereęos IP para os sistemas que fornecem servięo de DNS para 

seu computador. 

■ Search domains — Preencha todos os nomes de dominio dos dominios que voce gostaria que o 

sistema pesquisasse se voce inserir apenas um hostname ao executar um comando. Por 
exemplo, com um dominio de pesquisa de example . com, se voce digitasse ping spike, 
o sistema tentaria emitir umping para o sistema spike . example . com. 

■ Save — Clique no botao Save. As novas informaęóes sao salvas e a rede e reiniciada com elas. 

A Figura 14.3 mostra umexemplo dessas configuraęóes de rede. 



RA 14.3 


mdo configuraędes de rede com o NetworkManager 


\bce pode olhar na janela NetworkManager ou executar umcomando ifconfig ou ip addr descrito 
em “Yisualizando as placas de rede”, anteriormente, neste capitulo, para testar se as novas configuraędes 
de rede tiveram efeito. 

Configurando uma conexao de rede proxy 

Se seu sistema desktop esta executando atras de um firewall corporativo, talvez voce nao tenha acesso 
direto a internet. Em vez disso, voce pode ter de acessar a internet por meio de um servidor proxy. Em 
vez de permitir-lhe acesso total a internet, um servidor proxy permite que voce faęa solicitaęóes apenas 
para determinados servięos fora da rede local. O servidor proxy passa as solicitaęóes para a internet ou 
outra rede. 

Os servidores proxy normalmente fornecemacesso a seryidores web (http : / / e https : //) e 
seryidores de FTP (f tp : / /). Mas um seryidor proxy que suporta SOCKS pode fornecer um seryięo de 
proxy para diferentes protocolos fora da rede local. (SOCKS e umprotocolo de rede feito para permitir 
que computadores clientes acessema internet por meio de um firewall.) \bce pode identificar um 
seryidor proxy no NetworkManager e fazer as comunicaędes com protocolos selecionados passarem por 
esse seryidor (selecione NetWork proxy na janela NetWork Settings). 

Emvez de identificar um seryidor proxy para suas placas de rede (via NetworkManager), voce pode 
configurar seu navegador para usar um seryidor proxy diretamente alterando as preferencias do Firefox. 
Veja como definir um seryidor proxy a partir da janela do Firefox: 

1 - No Firefox, selecione Edit Preferences. A janela Firefox Preferences aparece. 

2 - A partir da janela Firefox Preferences, clique no botao Advanced. 

3 - Escolha a guia NetWork e escolha o botao Settings sob o titulo Connection. A janela Configure 
Proxies aparece. 

4 - \foce pode tentar detectar automaticamente as configuraęóes de proxy ou, se configurar o proxy no 
NetworkManager, pode optar por usar as configuraęóes de proxy do sistema. \bce tambem pode 
selecionar Manuał Proxy Configuration, preencher as seguintes informaęóes e clicar em OK. 

■ HTTP Proxy — O endereęo de IP do computador que oferece o seryięo de proxy. Isso faz com 

que todas as solicitaęóes de paginas web (protocolo http : //) sejamencaminhadas para o 
seryidor proxy. 

■ Port — A porta associada ao seryięo de proxy. Por padrao, o numero da porta e 3128, mas pode 

yariar. 


■ Use tMs proxy server for all protocols — Marque essa caixa para usar o mesmo seryidor 




proxy e a mesma porta associada com o HTTP proxy para todas as solicitaęóes de outros 
servięos. Isso faz comque as outras configuraęóes de proxy fiąuemdesabilitadas. (Emvez de 
selecionar essa caixa, voce pode definir os servięos de proxy separadamente.) 

■ No Proxy for — Deixando localhost e o endereęo IP local (127.0.0.1) nessa caixa, todas as 
solicitaęóes para o sistema local, que de outra forma seriam direcionadas para o servidor 
proxy, vao diretamente para o sistema local. 

AFigura 14.4 ilustra um exemplo da janela Configure Proxies preenchida para configurar urna conexao 
com um servidor proxy localizado no endereęo IP 10.0.100.254 para todos os protocolos. Após clicar em 
OK, todas as solicitaęóes do navegador Firefox para locais fora do sistema local sao direcionadas para o 
servidor proxy, que as encaminha para o servidor apropriado. 
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gurando o Firefox para usar um seryidor proxy 


Configurando redes para seryidores _ 

Embora o NetworkManager faęa um ótimo trabalho autodetectando redes com fio ou apresentando-lhe 
listas de redes semfio para seu laptop se conectar, ele e menos adeąuado para configurar redes em 
seryidores. Assim, nesta seęao, voce ira desatiyar o NetworkManager, ativar o seryięo de rede e fazer os 
procedimentos desta seęao, trabalhando diretamente comcomandos e arquivos de configuraęao de rede. 

Em particular, nesta seęao, voce vai fazer o seguinte: 

■ Configuraęao basica — Veja como usar system-conf ig-network para configurar urna rede 

basica, com urna interface baseada emmenus. 

■ Arquivos de configuraęao — Entenda arquivos de configuraęao associados com redes Linux e 

como configura-los diretamente. 

■ Alias — Configure varios endereęos nas mesmas placas, de modo que urna płaca de rede possa ter 

yarios endereęos atribmdos a ela (aliases). 

■ Agregaęao de canal Ethernet — Configure urna agregaęao de canal Ethernet (varias placas de 

rede ouvindo o mesmo endereęo IP). 

■ Rotas personalizadas — Defina rotas personalizadas. 

Como mencionado anteriormente, eu recomendo que voce desatiye o NetworkManager na maioria dos 
casos, ao configurar a rede em um seryidor. Para fazer isso no RHEL, Fedora ou um sistema mais antigo, 
digite o seguinte como root (faęa isso emumconsole, ja que esse procedimento vai derrubar sua rede se 
voce estiyer conectado): 

# service NetworkManager stop 

# service network restart 

# chkconfig NetworkManager off 

# chkconfig network on 

Para sistemas mais recentes do Fedora, que utilizamo comando systemctl para iniciar,yoce pode 
di gitar o seguinte parar ativar e desatiyar seryięos: 

# systemctl stop NetworkManager.service 

# systemctl disable NetworkManager.service 

# service network restart 





# chkconfig network on 


Utilizando system-config-network 

Muitos servidores nao tern interfaces graficas disponiveis. Entao, se voce quiser configurar a rede, deve 
ser capaz de faze-lo a partir do shell. Uma maneira de fazer isso e editar arquivos de configuraęao de 
rede diretamente. Outra e usar system-config-network. 

Antes de o NetworkManager existir, system-config-network carregava uma interface grafica que 
era a principal forma de configurar a rede no Fedora e no Red Hat Enterprise Linux. Nas ultimas vers5es 
desses sistemas Linux, system-config-network fornece uma płaca baseada emmenus que roda no 
shell. Como root, digite system-config-network para ver uma tela semelhante a mostrada na Figura 14.5. 
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gurando urna rede com system-config-network 


Use as setas e a tecla TAB para navegar pela interface. Como itemąue deseja selecionar destacado, 
pressione Enter para seleciona-lo. A interface limita-se a alterar dois tipos de informaęao: configuraęao 
de dispositivo (placas de rede) e configuraęao de DNS (conyersao de nomes). 


ta 

ssivel que suas placas de rede nao apareęam quando voce selecionar Device configu rafio n. Ha varias razoes 
fveis para isso. 0 mais provavel e que se trata de uma płaca de rede sem fios que necessita de um controlador 
nao esta disponivel para o Fedora. Execute o comando dmesg logo após a inicializaęao do sistema e procure o 
ero do modelo de uma płaca Ethernet para a qual o Linux nao conseguiu encontrar um driver. Entao, pesquise na 
netesse modelo e a palavra Linux. Outra possibilidade e que, em alguns laptops, haja um minusculo interruptor 
pode desativar o laptop. Certifique-se de que esse interruptor esta na posięao ligado e reinicie a rede. A maioria 
placas Ethernetsimplesmente funciona. 


Escolhendo a configuraęao do dispositivo 

Com configuraęao do dispositivo destacada, pressione Enter. Uma lista de dispositivos de rede 
(geralmente placas Ethernet com fio ou sem fio) e exibida. Destaąue um dos dispositivos de rede e 
pressione Enter. A janela NetWork Configuration que aparece permite que voce altere as informaęóes 
relatiyas ao dispositiyo de rede selecionado. A Figura 14.6 mostra umexemplo. 
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)HCP ou defina endereęos IP estaticos. 


\foce pode deixar os campos Name e Device como estao. Por padrao, umasterisco aparece no campo Use 
DHCP. Isso e o que permite que a rede apareęa automaticamente na rede se um servięo de DHCP estiver 
dispomvel. Para inserir o endereęo e outras informaęóes voce mesmo, use a tecla Tab para destacar o 
campo Use DHCP e, entao, pressione a barra de espaęo para desativar o DHCP. A figura mostra a tela 
depois que o asterisco foi removido. 

Agora, preencha as informaęóes de endereęo (endereęo IP e mascara de rede). Digite o endereęo IP do 
computador ou roteador que esta fornecendo o caminho para a internet. Entao, voce pode digitar os 
endereęos IP dos servidores de umou dois DNS, para dizer ao sistema aonde ir para traduzir nomes de 
maquinas que voce requisita em endereęos IP. Pressione Tab ate alcanęar o botao OK e pressione a barra 
de espaęo. Entao, clique em Save e, entao, em Save & Quit. 

Escolhendo a configuraęao do DNS 

Coma configuraęao de DNS destacada, pressione Enter. Na tela de configuraęao de DNS, voce pode 
definir o hostname do servidor, os servidores DNS e o caminho de pesquisa DNS. A Figura 14.7 mostra 
um exemplo dessa tela. 
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gurando o hostname e as informaęóes de DNS 


O hostname pode ser qualquer nome que voce quiser ou o hostname completamente qualificado do 
sistema. \bce pode definir os endereęos IP de ate tres servidores DNS. Quando voce digita um hostname 
(em um navegador web ou outro aplicativo), o primeiro servidor DNS e consultado quanto ao endereęo 
IP do host solicitado. Se esse servidor DNS estiver inativo, o servidor DNS secundario e verificado 
(entao, o DNS terciario e yerificado se o secundario nao for encontrado). 

O ultimo campo contemo caminho de pesquisa DNS. O caminho de pesquisa DNS e usado quando voce 
solicita um host a partir de um aplicativo sem usar um nome de dominio completamente qualificado. Por 
exemplo, se voce digitar pinghostl comum caminho de pesquisa example . com, o comando tenta 
enviar pacotes ping para hostl. example . com. 

Clique em OK para salvar as informaęóes. Entao, clique em Save & Quit. As informaęóes sao gravadas 
emvarios arquivos de configuraęao diferentes. \óce precisa reiniciar o servięo de rede para que as 
novas configuraęóes tenham efeito. Se voce estiver interessado em quais arquivos de configuraęao sao 
atualizados, consulte a próxima seęao. 

Entendendo os arquivos de configuraęao de rede 

Se voce mudar sua configuraęao de rede usando o NetworkManager ou system-conf ig-network, 
a maioria dos mesmos arquivos de configuraęao e atualizada. No Fedora e no RHEL, placas de rede e 
rotas personalizadas sao configuradas emarquivos no diretório /etc/sysconf ig/network- 
scripts. Outras configuraędes de rede sao armazenadas emoutros arquivos no diretório /etc. 

Emvez de usar algumas das ferramentas descritas acima, voce tambempode configurar a rede no Linux 
editando diretamente os arquivos de configuraęao. As seęóes a seguir descrevem os arquivos de 
configuraęao de rede. 

Arquivos de configuraęao de placas de rede 

Os arquivos de configuraęao para cada płaca de rede, seja comfio, semfio, ISDN, dial-up ou outro tipo, 
sao representados por arquivos no diretório /etc/sysconf ig/network-scripts que comeęam 
com if cf g-interface. Apalavra interface e substituida pelo nome da płaca de rede. 

No Red Hat Enterprise Linux e sistemas Fedora mais antigos, as placas de rede temnomes como ethO, 
ethl, eth2 (para cada płaca de rede comfio), wlanO (para a primeira płaca semfio) e pppO (para a 
primeira płaca dial-up ponto a ponto). No RHEL, o arquivo de configuraęao para a primeira płaca 
Ethernet seria if cfg-ethO. Eis umexemplo de umarquivo if cfg-ethO para urna conexao DHCP 
comfio: 


DEVICE=ethO 




HWADDR=FO:DE:Fl:28:46:D9 

TYPE=Ethernet 

BOOTPROTO=dhcp 

ONBOOT=yes 

NM_CONTROLLED=no 

USERCTL=no 

Nesse exemplo ifcfg-ethO, as tres primeiras linhas definemo nome do dispositivo, o endereęo MAC 
e o tipo de płaca para Ethernet. Avariavel BOOTPROTO esta configurada como dhcp, o que faz comque 
ela solicite informaęoes de endereęo a um servidor DHCP. Com ONBOOT=yes, a płaca inicia 
automaticamente no momento da inicializaęao do sistema. Configurar NM_CONTROLLED=no garante 
que o NetworkManager nao controle a płaca. Outra configuraęao no exemplo ifcfg-ethO impede que 
usuarios regulares sejamcapazes de iniciar e parar a płaca (USERCTL=no). 

Eis o que umarquivo if cf g-ethl pode parecer para urna płaca Ethernet comfio que usa endereęos IP 
estaticos: 

DEVICE=ethl 

HWADDR=0 0:IB:21:OA:E8:5E 

TYPE=Ethernet 

BOOTPROTO=none 

ONBOOT=yes 

NM_CONTROLLED=no 

USERCTL=no 

IPADDR=192.168.0.140 

NETMASK=255.255.255.0 

GATEWAY=192.168.0.1 

Nesse exemplo de ifcfg-ethl, como isso esta configurando o endereęo e outras informaęoes 
estaticamente, BOOTPROTO e configurado como nonę. Outras diferenęas sao necessarias para definir as 
informaędes de endereęo, que sao normalmente coletadas a partir de um servidor DHCP. Nesse caso, o 
endereęo IP esta configurado como 192.168.0.140, com urna mascara de rede de 255.255.255.0. O 
GATEWAY=192.168.0.1 identifica o endereęo do roteador para a internet. 

Se voce estiver interessado emoutras configuraęoes que pode usar emarquivos if cfg, verifique o 
arquivo sysconfig. txt no diretório /usr/share/doc/initscripts-*. Eis algumas outras 
configuraęoes que podemlhe interessar: 

■ PEERDNS — Configurar PEERDNS=no impede que DHCP substitua o arquivo 

/etc/resolv . conf . Isso permite que voce defina quais servidores DNS seu sistema usa sem 
medo de que as informaędes sejamapagadas por dados que sao fornecidos pelo servidor DHCP. 

■ DNS? — Se umarquivo if cfg estiver sendo gerenciado pelo NetworkManager, ele define o 

endereęo dos servidores DNS utilizando entradas “DNS?”. Por exemplo, DNS1 = 192.168.0.2 
fazcomque o endereęo IP seja gravado no arquivo /etc/resolv.conf como o primeiro 
servidor de DNS a ser utilizado no sistema. Vbce pode ter varias entradas “DNS?” (DNS2=, 



DNS3= etc.). 


Depois que umarquivo ifcfg-* e criado, voce pode ativar e desativar as placas individualmente 
usando os comandos if up e if down, em vez de ativar e desativar todas as placas juntas. Por exemplo, 
voce pode ativar e desativar a płaca lo (if cf g-lo), usando os seguintes comandos: 

# ifdown lo 

# ifconfig 

# ifup lo 

# ifconfig 

Os comandos mostrados acima desativam a płaca de rede de loopback (if down lo) e entao deixam 
voce ver que ela nao esta ativa (ifconfig). Depois disso, voce a ativa novamente (ifup lo) e 
verifica novamente se ela esta ativa (ifconfig). 

Alem de configurar as placas de rede primarias, voce tambem pode criar arquivos no diretório 
/etc/sysconf ig/network-scripts que podemser usados para configurar aliases (varios 
endereęos IP para a mesma płaca), placas agregadas (varias placas de rede ouvindo o mesmo endereęo) 
e rotas personalizadas. Isso esta descrito mais adiante nesta seęao. 

Outrosarquivosderede 

Alem dos arquivos de płaca de rede, ha outros arquivos de configuraęao de rede que voce pode editar 
diretamente para configurar a rede Linux. Eis alguns desses arquivos. 

file/etc/sys config/network 

Configuraęóes globais de sistema associadas a sua rede local podem ser incluldas no arquivo 
/etc/sysconf ig/network. O hostname do sistema e mais comumente configurado nesse arquivo, 
mas outras configuraęóes tambem podem ser adicionadas a ele. Eis umexemplo do conteudo de um 
arquivo /etc/sysconf ig/network: 

NETWORKING=yes 
HOSTNAME=abc.example.com 
GATEWAY=192.168.0.1 

O exemplo anterior mostra que a rede e ativada por padrao. O hostname do sistema local esta 
configurado como abc . example . com. O valor HOSTNAME e o lugar correto para colocar o hostname 
do sistema porque ele e lido toda vez que o sistema e inicializado. Observe que voce tambem pode 
adicionar o GATEWAY padrao (aqui 192.168.0.1). Placas diferentes podem usar endereęos de GATEWAY 
diferentes. Para outras configuraęóes que podem aparecer nos arquivos network, verifique o arquivo 
sysconf ig. txt no diretório / usr/share/doc/initscripts-*. 

file/etc/host 

Antes de o DNS ter sido criado, a traduęao de nomes de maquinas para endereęos IP era feita passando 
umunico arquivo hosts. Embora houvesse apenas algumas dezenas, e depois algumas centenas, de hosts 



na internet, essa abordagem funcionava muito bem. Mas, com o crescimento da internet, o uso de um 
unico arquivo hosts tornou-se inviavel e o DNS foi inventado. 

O arquivo /etc/hosts/ ainda existe emsistemas Linux. Ele ainda pode ser usado para mapear 
endereęos IP para nomes de host. O arquivo /etc/hosts e urna maneira de criar nomes e endereęos 
para uma pequena rede local ou apenas criar aliases, para facilitar o acesso aos sistemas que voce usa o 
tempo todo. 

Eis umexemplo de umarquivo /etc/hosts: 

127.0.0.1 localhosz.localdcmain localhost 

::1 myccmputer chris localhostó.localdomainć localhostó 

192.168.0.201 ncdel.example.com nodel joe 
192.168.0.202 ncće2.example.com node2 sally 

As duas primeiras linhas (127.0.0.1 e : : 1) configuramendereęos para o sistema local. O endereęo 
IPv4 para o host local e 127.0.0.1, o endereęo IPv6 para o host local e : : 1. Ha tambem entradas 
para dois endereęos de IP. \foce poderia alcanęar o primeiro endereęo IP (192.168.0.201) pelos nomes 
nodel. example . com, nodel ou j oe. Por exemplo, digitar ping joe resulta no envio de pacotes 
para 192.168.0.201. 

file/etc/resolv. conf 

Servidores DNS e dominios de pesquisa sao configurados no arquivo /etc/resolv. conf. Se o 
NetworkManager estiver habilitado e funcionando, voce nao deve editar esse arquivo diretamente. Se 
voce usar entradas DNS?= emarquivos ifcfg-*,o NetworkManager ira sobrescrever o arquivo 
/etc/resolv. conf e voce perdera todas as entradas que tiver adicionado ao arquivo. Eis um 
exemplo do arquivo /etc/resolv. conf que foi modificado pelo NetworkManager. 

# Generated by NetworkManager 
nameserver 192.168.0.2 
nameserver 192.168.0.3 

Cada entrada nameseryer identifica o endereęo IP de um seryidor DNS. A ordem e a m que os seryidores 
DNS sao yerificados. E normal ter duas ou tres entradas nameseryer, no caso de a primeira nao estar 
disponiyel. Mais do que isso pode levar muito tempo para umhostname nao traduziyel ser yerificado 
para cada seryidor. 

Outro tipo de entrada que yoce pode adicionar a esse arquivo e uma entrada de pesquisa. A entrada de 
pesquisa permite indicar dominios a serem pesquisados quando uma maquina e requisitada por seu nome 
de base em vez de seu nome de dominio completamente qualificado. \foce pode ter varias entradas de 
pesquisa identificando umoumais nomes de dominio depois da palavra-chave de pesquisa. Por exemplo: 

search example.com example.org example.net 

As opęóes de pesquisa sao separadas por espaęos ou tabulaędes. 

/ etc/nsswitch.conf 

Configuraęóes no arquivo /etc/nsswitch . conf determinamque a conyersao de hostname e feita 




pela primeira pesąuisa no arquivo /etc/hosts local e entao nos servidores DNS listados no arquivo 
/etc/resolv . conf . E assimque a entrada hosts no arquivo /etc/resolv . conf aparece no Red 
Hat Enterprise Linux: 

hosts: files dns 

\bce pode adicionar outros locais, como os bancos de dados do NetWork Information Service (nis ou 
nisplus), para consultar hostname para a conversao de endereęos IP. \bce tambempode alterar a 
ordememque os diferentes servięos sao consultados. \bce pode verificar se a conversao de host para 
endereęo IP esta funcionando corretamente usando diferentes comandos. 

Se ąuiser verificar se seus servidores DNS estao sendo consultados 
corretamente, voce pode usar os comandos host ou dig. Por exemplo: 

$ host redhat.com 

redhat.com has address 209.132.183.181 
redhat.com mail is handled by 5 mxl.redhat.com. 
redhat.com mail is handled by 10 mx2.redhat.com. 

$ dig redhat.com 

; «» DiG 9.7.3-P3-RedHat-9.7.3-8 . P3 . el6_2.2 «>> redhat.com 
;; global options: -t-cmd 
;; Got answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54399 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: O, 

ADDITIONAL: O 
;; QUESTION SECTION: 

; redhat.com. IN A 

;; ANSWER SECTION: 

redhat.com. 60 IN A 209.132.183.181 

;; Query time: 105 rasec 

;; SERVER: 8.8.128.23*53(8.8.128.23) 

;; WHEN: Sun Apr 29 08:32:32 2012 
;; MSG SIZE rcvd: 44 

Por padrao, o comando host produz urna saida mais simples para consultas DNS. Ele mostra o 
endereęo IP para Redhat.com e os nomes dos servidores de email (registros MX) que servem 
Redhat.com O comando dns mostra informaęóes semelhantes as que aparecemnos arquivos que 
armazenam registros de DNS. A seęao QUESTION da saida mostra que a seęao de endereęo requisitou o 
endereęo de Redhat.com e a seęao ANSWER mostrou a resposta (209.132.183.181). \foce tambempode 
ver o endereęo do servidor de DNS que foi consultado. 

Os comandos host e dig sao utilizados apenas para consultar servidores DNS. Eles nao verificamo 
arquivo nsswitch . conf para encontrar outros lugares para consulta, como o arquivo hosts local. 

Para isso, voce teria de usar o comando getent. Por exemplo: 

# getent hosts nodel 

192.168.0.201 nodel 

Este exemplo de getent encontra umhost chamado nodel, que foi digitado no meu arquivo 
/etc/hosts local. (O comando getent pode ser usado para consultar qualquer configuraęao de 
informaęóes no arquivo nsswitch . conf. Por exemplo, digitar getent passwd root mostra a entrada 
para a conta de usuario root no arquivo local, mas tambempode consultar umbanco de dados LDAP 
remoto para obter informaęóes de usuarios se voce tiver configurado esse recurso, conforme descrito no 








Capłtulo 11, “Gerenciando contas de usuario”.) 


Configurando aliases de placas de rede 

Ha ocasióes emque voce pode querer que sua płaca de rede ouęa emvarios endereęos IP. Por exemplo, 
se voce fosse configurar um servidor web que estava servindo conteudo seguro (https) para varios 
domłnios (example.com, example.org etc.), cada domlnio exigiria um endereęo IP separado (associado a 
um certificado separado). Nesse caso, emvez de adicionar varias placas de rede ao computador, voce 
pode simplesmente criar varios aliases emuma unica płaca de rede. 

Para criar um alias de płaca de rede, basta criar outro arquivo if cfg-. Seguindo o exemplo de urna 
płaca ethO emumsistema RHEL, voce pode criar urna płaca ethO : O associada comamesma płaca de 
rede. Para tanto, crie umarquivo no diretório /etc/sysconf ig/networkscripts chamado 
if cfg-ethO : O, que conteminformaęóes como as seguintes: 

DEVICE=ethO:O 
ONPARENT=ye s 
IPADDR=192.168.0.141 
NETMASK=255.255.255.0 

O código de exemplo cria umaiłaś para a płaca de rede ethO chamado ethO : 0. Emvez de ONBOOT, a 
entrada ONPARENT diz para ativar essa płaca se o pał (ethO) tiver iniciado e ouvir no endereęo 
192.168.0.141. \bce pode ativar essa płaca digitando ifup ethO : 0. \foce pode, entao, verificar se a 
płaca foi ativada usando o comando ip: 

$ ip addr show ethO 

2: ethO: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ądisc 
pfifo_fast State UP qlen 1000 

link/ether f0:de:f1:28:46:d9 brd ff:ff:ff:ff:ff:ff 

inet 192.168.0.140/24 brd 192.168.0.255 scope global ethO 

inet 192.168.0.141/24 brd 192.168.0.255 scope global 

secondary ethO:0 

inet6 fe80::f2de:flff:fe28:46d9/64 scope link 
valid_lft forever preferred_lft forever 

\foce pode ver que a płaca de rede representada por ethO esta ouvindo emdois endereęos: 
192.168.0.140 (ethO) e 192.168.0.141 (ethO : 0). Assim, esse sistema respondera a pacotes destinados 
a qualquer umdesses dois endereęos. \bce pode adicionar mais endereęos IP para a płaca, criando mais 
arquivos if cfg-ethO : ? (if cfg-ethO : 1, if cfg-ethO : 2 etc.). 

Configurando agregaęao de canais Ethernet 

A agregaęao de canais Ethernet permite que voce tenha mais de urna płaca de rede em um computador 



associado a umunico endereęo IP. Ha varias razóes pelas quais voce pode querer fazer isso: 

■ Alta disponibilidade — Varias placas de rede no mesmo endereęo IP podem garantir que, se urna 

sub-rede cair ou urna płaca de rede quebrar, o endereęo ainda pode ser alcanęado em urna płaca 
de rede agregada a outra sub-rede. 

■ Desempenho — Se houver muito trafego de rede para ser tratado por urna płaca de rede, voce 

pode distribuir esse trafego por varias placas de rede. 

No Red Hat Enterprise Linux e no Fedora em um computador comvarias placas de rede, voce pode 
configurar a agregaęao de canal Ethernet, criando alguns arquivos if cf g e carregando o módulo 
necessario. \foce pode comeęar comumarquivo de agregaęao (por exemplo, ifcfg-bondO) e, entao, 
apontar multiplos arquivos if cf g-eth? para essa płaca agregada. Depois, voce pode carregar o 
módulo de agregaęao. 

Dependendo do tipo de conexao que voce quer fazer, pode configurar sua płaca agregada para diferentes 
modos. Utilizando a variavel BONDING OPTS, voce define o modo de agregaęao e outras opęóes (todas 
sao passadas para o módulo de agregaęao). \bce pode ler sobre o módulo de agregaęao digitando 
modinf o bonding ou instalando o pacote kernel-docs e lendo o arquivo bonding. txt do 
diretório / usr/share/doc/kerneldoc*/ Documentation/networking/bonding. txt. 

Eis um exemplo do arquivo que define urna płaca agregada. O arquivo nesse exemplo e 

/etc/sysconfig/netwórk-scripts/ifcfg-bondO: 

DEVICE=bondO 
ONBOOT=yes 
IPADDR=192.168.0.50 
NETMASK=255.255.255.0 
BOOTPROTO=none 

BONDING_OPTS="mode=active-backup" 

A płaca bondO nesse exemplo usa o endereęo IP 192.168.0.50. Ela inicia na inicializaęao do sistema. A 
linha BONDING_OPTS configura o modo de agregaęao como active-backup. Isso significa que 
apenas urna płaca de rede por vez esta ativa e a płaca de rede seguinte só assume quando a anterior falha 
(failover). Nenhuma płaca de rede esta associada com a płaca bondO ainda. Para isso, voce deve criar 
opęóes de arquivo if cfg separadas. Por exemplo, crie um /etc/sysconfig/network- 
scripts/if cfg-ethO parecido como seguinte (depois de criar ethl, eth2, eth3 etc. para cada 
płaca de rede que voce quer usar no agregado de placas): 

DEVICE=eth0 

MASTER=bond0 

SLAVE=yes 

BOOTPROTO=none 

ONBOOT=yes 


Com a płaca ethO utilizada como parte da płaca bondO, nao ha um endereęo de IP atribuido. Isso 



porque a płaca ethO usa o endereęo IP da płaca bondO, definindo-se como uma escrava 

(SLAVE=yes) para bondO (MASTER=bondO). 

A ultima coisa que voce quer fazer e certificar-se de que a płaca bondO esta configurada para usar o 
módulo bonding. Para fazer isso, crie umarquivo /etc/modprobe . d/bonding. conf que contem 
a seguinte entiada: 

alias bondO bonding 

Como todas as placas estao definidas para ONBOOT=yes, a płaca bondO comeęa e todas as placas 
eth? estao disponłveis a medida que sao necessarias. 

Definindo rotas personalizadas 

Em uma configuraęao de rede simples, as comunicaęóes que sao destinadas para a rede local sao 
direcionadas para a płaca apropriada na rede local, enquanto as comunicaędes com hosts fora de sua 
rede local vao para um gateway padrao a firn de serem emtiadas para hosts remotos. Como alternativa, 
voce pode definir rotas personalizadas para fornecer caminhos alternativos para redes espedficas. 

Para definir uma rota personalizada no Fedora e no RHEL, voce cria um arquivo de configuraęao no 
diretório /etc/sysconf ig/network-scripts. Nesse percurso, voce define: 

■ GATEWAY? — O endereęo IP do nó na rede local que fornece a rota para a sub-rede representada 

pela rota estatica. 

■ ADDRESS ? — O endereęo de IP que representa a rede que pode ser alcanęada pela rota estatica. 

■ NETMASK? — Amascara de rede que determina qual parte de ADDRESS ? representa a rede e 

qual representa os hosts que podem ser alcanęados na rede. 

O nome de cada arquivo de rota personalizada e rout e-placa. Assim, por exemplo, uma rota 
personalizada que pode ser alcanęada por meio da płaca ethO seria chamada route-ethO. Ybce pode 
ter multiplas rotas personalizadas nesse arquivo, com cada entrada de rota substituindo o ? pelo numero 
de płaca. Por exemplo: 

ADDRESS0=192.168.99.0 
NETMASK0=255.255.255.0 
GATEWAY 0 = 192.168.0.5 

Nesse exemplo, qualquer pacote destinado a umhost na rede 192.168.99 seria emtiado por meio da płaca 
local ethO e direcionado ao nó gateway em 192.168.0.5. Presumivelmente, esse nó seria uma rota para 
outra rede contendo hosts na faixa de endereęo 192.168.99. Essa rota tera efeito quando a płaca de rede 
ethO for reiniciada. 

Para verificar se a rota esta funcionando depois de reiniciar a płaca de rede, voce pode digitar o 
seguinte: 



# route 

Kernel IP routing tafcie 

Destination Gateway Genmask Flags Metric Ref Use Ifaoe 

default 192.168.0.1 0.0.0.0 UG 0 0 0 ethO 

192.168.0.0 * 255.255.255.0 U 1 0 0 ethO 

192.168.99.0 192.168.0.5 255.255.255.0 UG 0 0 0 ethO 

A salda do comando route -n mostra que a rota padrao (qualquer coisa nao destinada a rede local 
192.168.0 ou a rede 192.168.99) e via o endereęo 192.168.0.1. Todos os pacotes destinados a rede 
192.168.99 sao direcionados atraves do endereęo 192.168.0.5. 

Se quiser adicionar mais rotas personalizadas, voce pode adiciona-las a esse mesmo arquivo route- 
ethO. O próximo conjunto de informaędes seria nomeado ADDRESS1, NETMASK1, GATEWAY 1 assim 
por diante. 

Configurando redes na empresa 

Ate agora, a configuraęao de rede descrita neste capitulo concentrou-se na criaęao de sistemas simples 
para se conectar a urna rede. Recursos disponiveis em Linux podem ir muito alemdisso, fornecendo 
software que suporta a infraestrutura de rede real necessaria para computadores host se comunicarem. 

Esta seęao apresenta alguns tipos de servięo de infraestrutura de rede disponiveis no Linux. A 
implementaęao completa desses recursos esta alem do escopo deste livro, mas saiba que se voce precisar 
gerenciar recursos de infraestrutura de rede, esta seęao lhe dara urna ideia de como esses recursos sao 
implementados em Linux. 

Configurando o Linux como um roteador 

Se tiver mais de urna płaca de rede em um computador (normalmente, duas ou mais placas de rede), voce 
pode configurar o Linux como um roteador. Para que isso aconteęa, tudo o que e necessario e urna 
mudanęa em um parametro do kernel que habilita o roteamento de pacotes. Para ativar o parametro 
ip_f orward imediata e temporariamente, digite o seguinte como root: 

# cat /proc/sys/net/ipv4/ip_forward 

0 

# echo 1 > /proc/sys/net/ipv4/ip_forward 

# cat /proc/sys/net/ipv4/ip_forward 

1 

O encaminhamento (roteamento) de pacotes esta desativado por padrao, como valor de ip_f orward 
configurado como 0. Configurando-o como 1, o roteamento de pacotes e imediatamente ativado. Para 
tornar essa alteraęao permanente, voce deve adicionar esse valor ao arquivo /etc/sysctl. conf, 
por isso ele aparece como segue: 

net.ipv4.ip_forward = 1 

Com esse arquivo modificado, como mostrado, cada vez que o sistema for reinicializado, o valor para 




ip_f orward e redefinido como 1. (Observe que net. ipv4 . ip_f orward reflete a localizaęao real 
do arquivo ip forward, menos o /proc/sys e compontos substituindo barras. \foce pode mudar os 
parametros do kernel estabelecidos na estrutura de diretórios /proc/sys dessa maneira.) 

Quando um sistema Linux e usado como um roteador, ele tambem costuma ser usado como um firewall 
entre urna rede privada e urna rede publica, como a internet. Se esse for o caso, voce tambem pode querer 
usar esse mesmo sistema como um firewall que faz traduęao de endereęos de rede (NAT) e oferece o 
servięo DHCP, para que os sistemas na rede privada possam encaminhar por meio do sistema Linux 
usando endereęos IP privados. (Veja o Capitulo 25, “Protegendo o Linux emurna rede”, para obter 
informaędes sobre como trabalhar comregras de firewall Linuxutilizando o recurso iptables.) 

Configurando o Linux como um servidor DHCP 

Alem de poder usar um servidor DHCP para obter seu endereęo IP e outras informaęóes, um sistema 
Linux tambem pode ser configurado para funcionar, ele próprio, como um servidor DHCP. Na sua forma 
mais basica, um servidor DHCP pode distribuir endereęos IP a partir de um pool de endereęos para 
qualquer sistema que o solicite. Normalmente, porem, o servidor DHCP tambem vai distribuir os locais 
dos servidores DNS e o gateway padrao. 

Configurar um seryidor DHCP nao e algo que deve ser feito sem alguma consideraęao. Nao adicione um 
seryidor DHCP emuma rede que nao esta sob seu controle e que ja tern um seryidor DHCP funcionando. 
Muitos clientes estao configurados para obter informaęóes de endereęo a partir de qualquer seryidor 
DHCP que ira passa-las adiante. 

O seryięo DHCP e fornecido pelo pacote dhcp no Fedora e no RHEL. O seryięo e chamado dhcpd no 
RHEL 6 e dhcpd. service na ultima yersao do Fedora. O arquivo de configuraęao principal e o 
/etc/dhcp/dhcpd. conf para redes IPv4 (ha umarquivo dhcpd6 . conf no mesmo diretório para 
fornecer o seryięo DHCP para redes IPv6). Por padrao, o daemon dhcpd escuta na porta UDP 67, 
portanto, lembre-se de manter essa porta aberta no firewall. 

Para configurar um seryidor DHCP, voce pode copiar o arquivo dhcpd. conf. sample do diretório 
/usr/share/doc/dhcp-4 * e substituir o arquivo / etc/dhcp/dhcpd. conf. Entao, modifique- 
o como quiser. Antes de usar esse arquivo, altere as opęóes de nomes de dominio para refletir seu 
dominio e interyalos de endereęos IP para atender aqueles que voce esta usando. Os comentarios no 
arquivo irao ajuda-lo a fazer isso. 

Configurando o Linux como um servidor de DNS 

No Linux, a maioria dos seryidores Domain Name System (DNS) profissionais sao implementados 
usando o seryięo Berkeley internet Name Domain (BIND). Isso e implementado no Fedora e no RHEL, 
instalando os pacotes bind, bind-utils e bind-libs. Para maior seguranęa, algumas pessoas 
instalamo pacote bind-chroot. 

Por padrao, bind e configurado editando o arquivo /etc/named. conf. O mapeamento de endereęo 
IP para hostname e feito emarquivos de zonas localizados no diretório /var/named. Se voce instalar o 
pacote bind-chroot, os arquivos de configuraęao de bind sao moyidos para baixo do diretório 



/var/named/chroot, que tenta replicar os arquivos de /etc e /var que sao necessarios para 
configurar bind, de modo que o daemon identificado (que fornece o servięo) e confinado a estrutura de 
diretórios /etc/named/chroot. 

Se voce esta interessado emexperimentar bind, recomendo que primeiro experimente-o configurando 
DNS para urna pequena rede domestica atras de um firewall como urna forma de tornar mais facil para as 
pessoas em sua casa se comunicarem entre si. \bce pode bloquear os endereęos IP das maquinas em sua 
casa anexando os endereęos MAC da płaca de rede de cada computador a endereęos IP esperificos em 
um servidor DHCP e depois mapeando esses nomes para os endereęos emum servidor DNS. 


męao 

s de criar um servidor DNS publico, tenha em mente que e muito importante proteger seu servidor DNS 
itamente. Um servidor DNS publico invadido pode ser usado para redirecionar o trafego para qualquer servidor 
os invasores quiserem. Entao, se voce estiver usando esse servidor, voce esta em perigo de ser apresentado a 
que nao sao aqueles que voce acha que eles sao. 


Configurando o Linux como um servidor proxy 

Um servidor proxy fornece um meio de restringir o trafego de rede de urna rede privada para urna 
publica, como a internet. Esses servidores oferecem urna excelente maneira de bloquear um laboratório 
de informatica emuma escola ou restringir os sites que funcionarios podem visitar a partir do seu 
trabalho. 

Configurando fisicamente o Linux como um roteador, mas configurando-se como um servidor proxy, todos 
os sistemas em sua rede domestica ou corporativa podem ser configurados para acessar a internet usando 
apenas certos protocolos e somente depois de filtrar o trafego. 

Usando o Squid Proxy Server, que vem com a maioria dos sistemas Linux (pacote squid no Fedora e no 
RHEL), voce pode ativar o sistema para aceitar solicitaędes para servidores web (HTTP e HTTPS), 
servidores de arquivos (FTP) e outros protocolos. \foce pode restringir quais sistemas podem usar o 
seryidor proxy (por nome ou endereęo IP) e ate mesmo limitar os sites que eles podem yisitar (por 
endereęo especifico, faixa de endereęos, hostname ou nomes de dominio). 

Configurar um seryidor proxy squid pode ser tao simples como instalar o pacote squid, editar o 
arquivo /etc/squid/squid. conf e iniciar o seryięo squid. O arquivo vem com urna 
configuraęao recomendada minima. Mas voce pode querer definir os hosts (combase no endereęo IP ou 
nome) que voce deseja permitir para usar o seryięo. Ha listas negras disponiyeis como squid que 
permitem negar o acesso a todo umconjunto de sites que podem ser inadequados para crianęas yisitarem 

Configurando VLANs no Linux 

A yirtualizaęao e umrecurso que permite que um sistema operacional, como o Linux, tenha outros 
sistemas operacionais rodando nele. O Linux atua como umhost yirtual no qual varios sistemas 
operacionais Linux, Windows, BSD ou outros podem ser executados ao mesmo tempo. Como cada 






sistema yirtualizado acredita estar sendo executado diretamente no hardware do computador, cabe ao 
host yirtual fornecer placas que se parecemcom hardware. Para a rede, os hosts fornecemredes locais 
yirtuais (ou VLANs). 

Como seu nome indica, uma VLAN e urna rede local yirtual que roda dentro do computador host Linux. 
Para os sistemas yirtuais em execuęao no host, a VLAN parece um comutador de rede fisica. Como o 
comutador fisico, a VLAN pode ser configurada para fazer uma ponte ou roteamento. Em outras palavras, 
os sistemas yirtuais podem ser executados em sua própria rede, com pacotes roteados fora dessa rede 
para placas de rede do host (roteamento) ou simplesmente passados atraves de placas de rede do 
computador como se os sistemas yirtuais existissemna rede fisica (ponte). 

A configuraęao de VLANs esta alem do escopo deste livro. Mas voce deve ficar ciente de que, se estiyer 
executando o Linux como umhost yirtual, redes locais yirtuais podem ser automaticamente configuradas e 
iniciadas para voce. Em sistemas Fedora e RHEL recentes, a yirtualizaęao e fornecida pelo recurso 
Kernel Yirtualization Module (KVM). Outros sistemas Linux oferecemo Xen como sua tecnologia de 
yirtualizaęao. 

Se voce instalou a yirtualizaęao em seu sistema (yum groupinstall Virtualization), voce 
pode ficar confuso com o aparecimento de novas placas de rede nele depois de reinicia-lo (ou iniciar 
manualmente o seryięo libvirtd). Por exemplo, voce vera uma nova płaca vibrO. O seguinte e a 
saida do comando ifconfig emumsistema depois de instalar o Yirtualizationpackage group e 
reiniciar o RHEL: 

# ifconfig vibrO 

virbrO Link encap:Ethernet HWaddr 52:54:00:2F:54:85 
inet addr: 192.168.122.1 Bcast :192.168.122.255 

Ma sk:255.255.255.0 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:0 errors:0 dropped:0 overruns:0 framę:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) 

O resultado mostra uma VLAN configurada para fazer uma ponte sobre a rede 192.168.122. Essa VLAN 
fornece um meio de sistemas yirtuais instalados no host serem capazes de alcanęar um ao outro e tambem 
o mundo exterior usando as placas de rede fornecidas pelo host. Para obter informaęóes sobre instalaęao 
e configuraęao de hosts de yirtualizaęao KVM e maquinas yirtuais, consulte o Red Hat Yirtualization 
Host Configuration and Guest Installation Guide (http : //docs . redhat. com/docs/en- 
US/Red_Hat_Enterprise_Linux/6/html/ 

Virtualization_Host_Configuration_and_Guest Installation_Guide/index.1 


Resumo 


A maioria das conex5es de rede a partir de um desktop ou sistema portatil Linux pode ser feita com 




pouca ou nenhuma interyenęao do usuario. Se voce usar o NetworkManager sobre uma conexao Ethernet 
com ou sem fio, as informaędes de endereęo e servidor necessarias para iniciar podem ser obtidas 
automaticamente a partir de um servidor DHCP. 

Com a interface grafica NetworkManager, voce pode fazer algumas configuraęóes de rede, se quiser. 

\bce pode configurar endereęos IP estaticos e selecionar qual servidor DNS e gateway usar. Para fazer 
uma configuraęao de rede mais manuał e complexa, considere desativar o NetworkManager e trabalhar 
diretamente com os arquivos de configuraęao de rede. 

Arquivos de configuraęao de rede em Linux podem ser usados para configurar recursos mais avanęados, 
tais como aliases de rede, agregaęao de canal Ethernet e rotas personalizadas. Para utilizar esses 
servięos mais avanęados, voce pode habilitar o servięo de rede. 

Alem da conectividade basica de rede no Linux, ha recursos disponiveis que permitem fornecer servięos 
de infraestrutura de rede. Este capitulo apresentou servięos e funcionalidades como roteamento, DHCP, 
DNS e VLANs, que voce precisa saber ao trabalhar com recursos mais avanęados de rede emLinux. 

Com sua rede configurada, agora voce pode comeęar a configurar servięos para executar em suas redes. 
O Capitulo 15 descreve as ferramentas que voce precisa para ativar, desativar, iniciar, parar e yerificar o 
status dos seryięos que estao configurados para seu sistema Linux. 


Exercicios 


Os exercicios desta seęao ajudam voce a examinar e alterar as placas de rede em seu sistema Linux, bem 
como a entender como configurar recursos de rede mais ayanęados. Inicie estes exercicios emum sistema 
Linux que tenha uma conexao de rede ativa, mas nao esteja no meio de alguma atividade de rede critica. 

Recomendo que voce faęa esses exercicios diretamente no console do computador (em outras palayras, 
nao use ssh no computador para faze-las). Alguns dos comandos que voce executa podem interromper sua 
conectividade de rede e algumas das configuraęóes que voce faz, se voce cometer um erro, podem tornar 
seu computador temporariamente indisponiyel na rede. 

Muitas vezes ha yarias maneiras de completar as tarefas descritas nesses exercicios. Se voce empacar, 
consulte as soluęóes das tarefas que sao mostradas no Apendice B. 

L Use o desktop para yerificar se o NetworkManager iniciou com sucesso sua płaca de rede (com 
ou sem fio) na rede. Se nao iniciou, tente, entao, iniciar sua conexao de rede. 

2 - Execute um comando para yerificar as placas de rede ativas disponiveis em seu computador. 

3 - Tente acessar google . com a partir da linha de comando de uma maneira que assegure que o 
DNS esta funcionando corretamente. 

4 - Execute um comando para yerificar as rotas sendo usadas para se comunicar fora da rede local. 

5 - Tracę a rota a ser tornada para se conectar com google . com. 

6 - Desatiye e desabilite o NetworkManager e inicie o seryięo de rede. 

7 - Crie uma entrada de host que permite que voce se comunique com o sistema host local usando o 
nome myownhost. 




8 - Adicione o servidor DNS Google publico (endereęo IP 8.8.8.8) como o ultimo na sua lista de 
servidores DNS. 

9 - Crie urna rota personalizada que direciona o trafego destinado a rede 
192.168.99.0/255.255.255.0 para algum endereęo IP emsua rede local, como 192.168.0.5 
(primeiro garantindo que a rede 10.0.99 nao esta sendo usada em seu local). 

10 -Verifique se seu sistema foi configurado para permitir o roteamento de pacotes IPv4 entre as placas 
de rede de seu sistema. 



CAPITULO 


Iniciandoe 
parando servięos 

NESTE CAPITULO 

Entendendo os varios daemons de inicializaęao do Linux 
Auditando os servięos controlados pelo daemon initdo Linux 
Parando e iniciando servięos 
Alterando o nfvel de execuęao do servidor Linux padrao 
Removendo servięos 

Um servięo, tambem chamado de daemon, e um programa ou um processo em execuęao que fornece uma 
funęao especifica. O principal trabalho de seu servidor Linux e oferecer servięos. Como um 
administrador de servidor Linux, uma de suas principais tarefas e gerenciar esses servięos. 

O daemon cupsd e um exemplo de um servięo que seu servidor Linux pode oferecer. Esse servięo e 
responsavel pela impressao e e coberto no Capitulo 16, “Configurando umservidor de impressao”. 

Como voce inicia o daemon cupsd? Como voce o para? Como voce faz para ele ser carregado na 
inicializaęao do sistema? E se voce tiver um programa especial que voce pretende iniciar em seu 
servidor? Como voce faz para ele carregar na inicializaęao? Todas essas quest5es e muitas outras serao 
respondidas neste capitulo. Logo, voce tera umexcelente entendimento sobre o gerenciamento desses 
servięos. 


Entendendo o daemon init do Linux 


A firn de entender o gerenciamento do servięo, voce precisa entender o daemon init. O daemon init 
pode ser pensado como a “mae de todos os processos”. Esse daemon e o primeiro processo a ser 
iniciado pelo kernel no servidor Linux. O kernel do Linux possui um ID de processo (PID) de 0. Assim, o 
daemon init tern um ID de processo pai (PPID) de 0 e umPID de 1. Uma vez iniciado, init e 
responsavel por carregar processos configurados para serem iniciados na inicializaęao do sistema do 
seryidor, como o shell de login (processo getty ou mingetty). Ele tambem e responsayel pelo 




gerenciamento de servięos. Isso e muita responsabilidade para umdaemon! 

O daemon init do Linux foi baseado no daemon init do Unix System V Por isso, ele e chamado de 
daemon SysVinit. Mas ele nao foi o unico daemon init classico. O daemon init nao e parte do 
kernel Linux. Portanto, ele pode vir em diferentes vers5es, e as distribuięóes do Linux podem escolher 
qual versao usar. Outro classico daemon init baseia-se no Unix Berkeley, tambem chamado de BSD. 
Portanto, os dois daemons init originais do LinuxeramBSD init e SysVinit. 

Os daemons init classicos funcionaram semproblemas por muitos anos. Mas esses servidores foram 
criados para trabalhar dentro de umambiente estatico. A medida que surgiram novos hardwares, como 
dispositivos USB, os daemons init classicos tinham dificuldade para lidar com esses e outros 
dispositivos hot-plug (que podem ser conectados como computador ligado). O hardware do computador 
tinha mudado de estatico para baseado emeventos. Novos daemons init tornaram-se necessarias para 
lidar com esses ambientes fluidos. 

Alemdisso, a medida que surgiamnovos servięos, os daemons init classicos tinham de lidar com a 
inicializaęao de cada vez mais servięos. Assim, o processo de inicializaęao do sistema inteiro era menos 
eficiente e, em ultima instancia, mais lento. 

Os daemons init modernos temtentado resolver os problemas de inicializaęao ineficiente do sistema e 
ambientes nao estaticos. Dois desses daemons init sao Upstart e systemd. Muitas distribuięóes 
Linux tern feito a transięao para os novos daemons init enquanto mantem retrocompatibilidade com os 
daemons SysVinit e BSD init classicos. 

Upstart, disponivel emhttp : / /upstart. ubuntu . com, foi originalmente desenvolvido pela 
Canonical, o pai da distribuięao Ubuntu. Mas muitas outras distribuięóes o adotaram, incluindo: 

■ RHEL, versao 6 

■ Fedora, vers5es 9 a 14 

■ Ubuntu, vers5es-6-10 e superiores 

■ openSUSE, vers5es 11.3 e superiores 

Umnovo daemon, systemd, disponivel em http : / / f edorapro j ect. org/wiki/Systemd, foi 

escrito principalmente por Lennart Poettering, um desenvolvedor da Red Hat. Atualmente, e usado pelo 
Fedora versao 15 e superiores. 

A firn de gerenciar adequadamente seus servięos, voce precisa saber qual daemon init seu servidor 
tern Descobrir isso pode ser umpouco complicado. Examine o seguinte para ajudar a determinar o 
daemon init do seu servidor Linux. 

■ Sua distribuięao Linux e versao aparecemna lista anterior de adotantes de Upstart? Entao, seu 

daemon init Linux e o daemon Upstart init. 

■ Sua distribuięao Linux Fedora e versao 15 ou superior? Entao, seu daemon init Linux e o 

daemon systemd init. 

■ Tente pesquisar o daemon init da sua distribuięao Linux para obter pistas, utilizando os 



comandos strings e grep. O exemplo de código a seguir mostra o daemon init emuma 
distribuięao Linux Mint sendo pesąuisado pelas referencias de daemon systemd e Upstart 
init. A pesąuisa por systemd nao retorna nada. Mas a pesąuisa por Upstart produz 
resultados. Assim, voce pode ver que essa distribuięao Linux Mint usa o daemon Upstart 
init. 

$ sudo strings /sbin/init | grep -i systemd 

$ 

$ sudo strings /sbin/init | grep -i upstart 
upstart-devel@lists.ubuntu.com 
UPSTART_CONFDIR 
UPSTART NO SESSIONS 


Em um servidor Fedora, a pesąuisa por Upstart nao retorna nada. Mas voce pode ver que a pesąuisa por 
systemd mostra a existencia do daemon systemd. 

# strings /sbin/init | grep -i upstart 

# 

# strings /sbin/init | grep -i systemd 

systemd.unit= 
systemd.log_target= 
systemd.log level= 


:a 

ao tivero comando strings em seu sistema Linux, voce pode instala-lo pormeio do pacote binutils. No 
L e no Fedora, use o comando yum install binutils. No Ubuntu, use o comando sudo apt-get install binutils 


■ Se voce ainda nao pode determinar o daemon init que seu servidor tern, tente olhar a pagina 

init da Wikipedia sobre “Replacements for init?” 

(http : / / wikipe dia.org/wiki/Init). 

■ Ybce nao conseguiu encontrar nenhuma informaęao usando as sugestóes anteriores? Entao, muito 

provavelmente, sua distribuięao ainda esta usando o daemon SysVinit ou BSD init 
classico. 

Tenha emmente que algumas distribuięóes Linuxnao migrarampara os daemons mais recentes. Amaioria 
das que migraram ainda mantem retrocompatibilidade com os daemons SysYinit e BSD init. 


Entendendo os daemons de inicializaęao classicos 

Os daemons init, SysYinit e BSD init classicos merecemuma explicaęao, ainda que o seryidor 






Linuxtenha umdaemon init diferente. Nao e apenas pela retrocompatibilidade dos novos daemons 
init comos classicos, mas pelo fato de muitos dos novos se basearemnos classicos. Entender os 
daemons init classicos ajudara voce a entender os daemons init modernos. 

Os daemons SysVinit e BSD init classicos funcionamde forma muito semelhante. Embora, no 
inicio, eles possam ter sido um pouco diferentes, com o tempo, bem poucas diferenęas significativas 
permaneceram. Por exemplo, o antigo daemon BSD init obtinha informaęóes de configuraęao do 
arquivo /etc/ttytab. Agora, assimcomo o daemon SysVinit, as informaęóes de configuraęao do 
daemon BSD init sao obtidas na inicializaęao, a partir do arquivo /etc/inittab. Eis umarquivo 
SysYinit /etc/inittab classico: 


$ cat /etc/inittab 
# 

# inittab 
t 

* 

it Authcr: 
it 
t 


This file describes hcw che INIT prccess should set up 
the system in a certain rur.-level. 

Miguel var. Smoorenburg, <miquels@drinkel. nl.mugnet. org> 
Modified for RHS Linux by Marc Ewing and Donnie Earnes 


t Default runlevel. The rur.levels used by RES are: 

# 0 - hale (Do NCT sec initdefault to this) 

t 1 - Single user rrede 

t 2 - Mulciuser, vd.thout HES (The sare as 3, if you di' not have networking) 
it 3 - Fuli nultiuser oode 

it 4 - unused 

it 5 - XII 

it 6 - reboot (Do NOT set initdefault to this) 

it 

id:5:initdefault: 


it Syster. initializaticn. 

si: : sysimt: /etc/rc. d/rc. sysinit 

10:0:wait:/etc/rc.d/rc 0 
11:1:wait:/etc/rc.d/rc 1 
12:2:wait:/etc/rc.d/rc 2 
13:3:wait:/etc/rc.d/rc 3 
14:4:wait:/etc/rc.d/rc 4 
lS:5:wait:/etc/rc.d/rc S 
16:6:wait:/etc/rc.d/rc 6 

it Trap CTRl-ALT-DELZTZ 

ca: : ctrlaltdel: /sbin/shutdowr. -t3 -r naw 

it Mhen cur DPS tells us power has failed, assume we have a few minutęs 
it of power left. Schedule a shutdown for 2 minutęs frcci r.ow. 
it This dces, of course, as sumę you have powerd installed and your 
it OTS ccnr.ected and working correctly. 

pf:iprwerfail:/sbin/shutdown -f -h +2 "Rower Failure; System Shutting Down" 

it If power was restered before the shutdowr. kicked in, car.cel it. 

pr:12345:powerokwait:/sbin/shutdown -c "Power Restered; Shutdown Caneelled" 

it Run gettys in standard rur.levels 

l:2345:respawr.:/sbin/mingetty ttyl 

2:2345:respawr.: /sbin/rir.getty tty2 

3:2345: respawr.: /sbin/mingetty tty3 

4:2345:respawr.:/sbin/mingetty tty4 

5:2345:respawr.: /sbin/mingetty ttyS 


6:2345:respawn:/sbin/mingetty tty6 
\# Run xdm in runlevel 5 
x:5:respawn:/etc/Xll/prefdm -nodaemon 




O arquivo /etc/inittab diz ao daemon init que o runlevel e o padrao. Um runlevel e um 
numero de categorizaęao que determina quais servięos sao iniciados e quais servięos sao parados. No 
exemplo anterior, um runlevel padrao de 5 e configurado como código id : 5 : initdef ault :. A 
Tabela 15.1 mostra os sete mveis de execuęao padrao do Linux. 


TABELA 15.1 Niveis de Execuęao Padrao do Linux 


do nivel de execuęao 

Nome 

Descrięao 


Halt (Suspenso) 

Todos os servięos estao 
desligados e o servidor esta 
parado. 

u S 

Single User Modę (Modo 
monousuario) 

A conta root e automaticamente 
logada no servidor. Outros 
usuarios nao podem fazer login 
no servidor. Apenas a interface 
de linha de comando esta 
disponivel. Servięos de rede nao 
sao iniciados. 


Multiuser Modę (Modo 
multiusuario) 

Os usuarios podem 
fazer login no 
servidor, mas apenas 
a interface de linha 

de comando esta 
disponivel. Servięos 
de rede nao sao 

iniciados. 


Extended Multiuser Modę 
(Modo multiusuario 
estendido) 

Os usuarios podem 
fazer login no 
servidor, mas apenas 
a interface de linha 

de comando esta 
disponivel. Os 
servięos de rede sao 
iniciados. 


User Defined (Definido 
pelo usuario) 

Os usuarios podem 
personalizar esse 
nivel de execuęao. 


Graphical Modę (Modo 
grafico) 

Os usuarios podem 
fazer login no 
servidor. Linha de 
comando e interfaces 
graficas estao 
disponiveis. Os 
servięos de rede sao 
iniciados. 


Reboot (Reiniciado) 

0 servidor foi 
reiniciado. 



Distribuięóes Linux podemdiferir umpouco sobre a definięao de cada runlevel, bemcomo quais 
runlevels sao oferecidos. A distribuięao Ubuntu, por exemplo, oferece niveis de execuęao 0-6, mas 
runlevels 2-5 iniciamos mesmos seryięos que o runlevel 5 padrao listado na Tabela 15.1. 


jnęao 

nicos nfveis de execuęao que devem ser usados no arquivo /etc/inittab sao 2 a 5. Os outros nfveis de 
uęao podem causar problemas. Por exemplo, se voce configurasse o runlevel 6 no arquivo 
c/inittab como o padrao, quando o servidor fosse reinicializado, ele entraria em urn loop e continuaria a 
ciar repetidamente. 


Obserye que nao faz sentido incluir algumas das categorias de runlevel descritas na Tabela 15.1 no 
arquivo /etc/inittab. Nao ha nenhuma razao pela qual voce poderia querer que seu runlevel 
padrao fosse 0, o que suspenderia o seryidor sempre que ele simplesmente reiniciasse. 

Os nlveis de execuęao nao sao utilizados apenas como um runlevel padrao no arquivo 
/etc/inittab. Eles tambem podem ser chamados diretamente usando o daemon init. Assim, se 
quiser parar imediatamente seu seryidor, voce digita init 0 na linha de comando: 

# initO 


System going down for system halt NOW! 

O comando init aceitara qualquer umdos numeros de runlevel da Tabela 15.1, o que lhe permite 
mudar rapidamente seu seryidor de urna categoria de runlevel para outra. Por exemplo, se voce 
precisar solucionar problemas, o que requer que a interface grafica seja desativada, voce pode di gitar 
init 3 na linha de comando: 


# init 3 

INIT: Sending processes the TERM signal 
starting irgbalance: [ OK ] 

Starting setroubleshootd: 

Starting fuse: Fuse filesysten already avaxlable. 
Starting console mouse services: [ OK ] 


Para ver o runlevel atual de seu seryidor Linux, basta digitar o comando runlevel. O primeiro 
itemexibido sera o runlevel anterior do seryidor, que no exemplo a seguir e 5. O segundo item 
exibido mostra o runlevel atual do seryidor, que neste exemplo e 3. 

$ runlevel 

5 3 


Alemdo comando init, voce tambem pode usar o comando te 1 init, que e funcionalmente o mesmo. 
No exemplo a seguir, o comando telinit e usado para reiniciar o seryidor, levando-o para 

runlevel 6: 






* telinit 6 

INIT: Sending processes Che TERM signal 
Shuccing down smarCd: [ OK } 

Shuccing down Avahi daemon: [ OK I 

Scopping dhcabd: [ OK I 

Stopping HAL daemon: [ OK ) 

Scarcing killall: 

Sending all proces3es che TERM signal... [ OK 1 

Sending all processes che KILL signal... [ OK I 

Unmouncing filesyscems [ OK J 


Please scand by while reboocing che 3yscem 


Emum servidor Linux recem-iniciado, o numero do runlevel atual deve ser o mesmo que o numero do 
runlevel padrao no arquivo /etc/inittab. Mas notę que o runlevel anterior no exemplo a 
seguir e N. O N significa “nao existente” e indica que o servidor foi recem-iniciado. 

$ runlevel 

N 5 

Como e que o servidor sabe quais servięos parar e quais iniciar quando um runlevel especial e 
escolhido? Quando um runlevel e escolhido, os Scripts localizados no diretório 
/etc/rc . d/rc#. d (onde # e o runlevel escolhido) sao executados. Esses Scripts sao executados 
se o runlevel for escolhido via urna inicializaęao do servidor e a configuraęao /etc/inittab 
runlevel ouquando o comando init ou telinit e usado. Por exemplo, se runlevel 5 for 
escolhido, todos os Scripts no diretório /etc/rc . d/rc5 . d serao executados. 


# ls /etc/rc.d/rc5.d 

KOlsmolt 

K88wpa supplicant 

S22messagebus 

K02avahi-dnsconfd 

K8 9dund 

S25bluetooth 

K02NetworkManager 

K8 9netplugd 

S25fuse 

K02NetworkManagerDispatcher 

K8 9pand 

S25netfs 

K05saslauthd 

K8 9rdisc 

S25pcscd 

KlOdc server 

K91capi 

S2 6hidd 

KIOpsacct 

SOOmicrocode ctl 

S2 6udev-post 

K12dc client 

S04readahead early 

S2 8autofs 

K15gpm 

S05kudzu 

S50hplip 

K15httpd 

SO 6cpuspeed 

S55cups 

K2 Onfs 

S08ip6tables 

S55sshd 

K24irda 

S08iptables 

S80sendmail 

K25squid 

SO 9isdn 

S90ConsoleKit 

K30spamassassin 

SIOnetwork 

S90crond 

K35vncserver 

sllauditd 

s 90xfs 



K50netconsole 

sl2restorecond 

s 95anacron 

K50tux 

sl2syslog 

s 95atd 

K69rpcsvcgssd 

sl3irqbalance 

s96readahead later 

K7 3winbind 

sl3mcstrans 

s97dhcdbd 

K73ypbind 

sl3rpcbind 

s97yum-updatesd 

K74nscd 

sl3setroubleshoot 

s 98avahi-daemon 

K74ntpd 

sl4nfslock 

s 98haldaemon 

K84btseed 

sl5mdmonitor 

s99firstboot 

K84bttrack 

sl8rpcidmapd 

s991ocal 

K87multipathd 

sl9rpcgssd 

s99smartd 


Notę que alguns dos Scripts dentro do diretório /etc/rc.d/rc5.d iniciam com um K e alguns com 
um S. O K refere-se a um script que ira eliminar (kill, ou parar) umprocesso. O S refere-se a um script 
que ira iniciar (start) um processo. Alem disso, cada script K e S tern um numero antes do nome do 
servięo ou daemon que eles controlam Isso permite que os servięos sejamparados ou iniciados emuma 
ordem controlada especifica. Abce nao iria gostar que os servięos de seu servidor de rede Linux fossem 
iniciados antes que a rede em si fosse iniciada. 

Um diretório /etc/rc.d/rc#.d existe para todos os niveis de execuęao padrao do Linux. Cada um 
contemScripts para iniciar e parar servięos para seu runlevel especifico. 

# ls -d /etc/rc.d/rc?.d 

/etc/rc.d/rcO.d /etc/rc.d/rc2.d /etc/rc.d/rc4.d /etc/rc.d/rc6.d 
/etc/rc.d/rcl.d /etc/rc.d/rc3.d /etc/rc.d/rc5.d 

Os arquivos no diretório /etc/rc.d/rc#.d nao sao realmente Scripts, mas simvinculos simbólicos 
para os Scripts no diretório /etc/rc.d/init.d. Portanto, nao e necessario ter multiplas cópias de 
Scripts especificos. 

# ls -1 /etc/rc.d/rc5.d/K15httpd 

lrwxrwxrwx 1 root root 15 2011-10-27 19:59 
/etc/rc.d/rc5.d/K15httpd -> ../init.d/httpd 

# 

# ls /etc/rc.d/init.d 


anacron 

functions 

multipathd 

rpcidmapd 

atd 

f use 

netconsole 

rpcsvcgssd 

auditd 

gpm 

nett s 

saslauthd 

autofs 

haldaemon 

netplugd 

sendmail 

avahi-daemon 

halt 

network 

setroubleshoc 

avahi-dnsconfd 

hidd 

NetworkManager 

single 



bluetooth 

hplip 

NetworkManagerDispatcher 

smartd 

btseed 

hsąldb 

nf s 

smolt 

bttrack 

httpd 

nfslock 

spamassassin 

capi 

ip6tables 

nscd 

sąuid 

ConsoleKit 

iptables 

ntpd 

sshd 

cpuspeed 

irda 

pand 

syslog 

crond 

irąbalance 

pcscd 

tux 

cups 

isdn 

psacct 

udev-post 

cups-config- 

■daemon kiiiaii 

rdisc 

vncserver 

dc client 

kudzu 

readahead early 

winbind 

dc server 

mcstrans 

readahead later 

wpa supplicar 

dhcdbd 

mdmonitor 

restorecond 

xf s 

dund 

messagebus rpcbind 

ypbind 

firstboot 

microcode ctl 

rpcgssd 

yum-updatesd 


Observe que cada servięo temumunico script em/etc/rc.d/init.d. Nao ha Scripts separados 
para interromper e iniciar um servięo. Esses Scripts param ou iniciam um servięo dependendo do 
parametro que lhes e passado pelo daemon init. 


Jota 

ependendo de sua distribuięao e seu daemon init, os Scripts de parar e iniciar um servięo podem ser 
rmazenados em um local diferente do diretório /etc/rc . d/init. d. As tres localizaęóes possiveissao: 

■ /etc/rc . d/init. d - Um diretório usado pelo daemon SysVinit. 

■ /etc/rc. d - 0 diretório utilizado pelo daemon BSD init 

■ /etc/init. d - Um diretório tambem utilizado pelo daemon SysVinit, normalmente em 
distribuięóes baseadas no Debian, como o Ubuntu 


Cada script em/etc/rc.d/init.d cuida de tudo o que e necessario para iniciar ou parar um 
servięo especifico no servidor. Eis um exemplo parciał do script httpd em um sistema Linux que usa 
o daemon SysVinit. Ele contemuma instruęao case para lidar como parametro ($1) que foi 
passado a ele, como start, stop, status etc. 






* cat /etc/rc.d/init.d/httpd 

4!/bin/bash 

* 

* httpd Startup script for che Apache HTTP Server 

* 

4 chkconfig: - 95 15 

4 description: Apache is a World Wide Web server. 

4 Ic is used to serve \ 

4 HTML files and CG1. 

4 processname: hctpd 
4 config: /etc/htcpd/conf/httpd.conf 
4 config: /etc/sysconfig/httpd 
4 pidfile: /var/run/httpd.pid 

4 Source function library. 

. /etc/rc.d/init.d/functions 

4 See how we were called. 
case "$1" in 
start) 

start 


stop) 

stop 

f 9 

status) 

status $httpd 
RETVAL=$? 


esac 

exit $RETVAL 

Depois que os Scripts runlevel desejados no diretório /etc/init. d sao executados, o 
carregamento do processo do daemon SysVinit esta completo. Esse curso inteiro e uma abordagem 
passo a passo bem organizada para iniciar um servidor Linux com os servięos apropriados em 
execuęao. A Figura 15.1 revisa o papel do daemon SysVinit no carregamento dos processos 
corretos durante a inicializaęao do sistema. 



SURA 15.1 


rso de aęao classico do daemon SysYinit na inicializaęao do servidor. 

O curso e muito semelhante ao mudar de urna categoria de nivel de execuęao para outra. A Figura 15.2 
revisa os papeis do daemon SysYinit de parar e iniciar os processos corretos durante urna mudanęa de 
nivel de execuęao. 




URA 15.2 _ 

rso de aęao classico do daemon SysYinit na mudanęa de mvel de excecuęao. 

Agora que voce ja temuma ideia dos daemons init classicos, e hora de passar para o daemon 
Upstart init mais moderno. 

Entendendo o daemon Upstart init 

Como mencionado anteriormente, muitas distribuięóes Linux mudaram de daemons init classicos 
para o daemon Upstart init mais moderno. Incluidos nessa lista de distribuięao estao as 
distribuięóes RHEL e Ubuntu. 

Aprendendo noęoesbasicassobre o daemon Upstart init 

Aprincipal diferenęa entre os daemons classicos e o Upstart e a capacidade de parar e iniciar 
servięos. O daemon SysVinit foi criado para operar emumambiente estatico. O daemon 
Upstart init foi criado para operar emumambiente flexivel e emconstante mudanęa. Com 
SysVinit, os servięos sao parados e iniciados combase emniveis de execuęao. O daemon 
Upstart init nao esta preocupado comniveis de execuęao, mas comeventos do sistema. Os 
eventos sao o que determinam quando os servięos sao interrompidos e/ou iniciados. Um evento e urna 
ocorrencia de um servidor Linux que desencadeia urna mudanęa de estado necessaria do sistema, a 
qual e comunicada ao daemon Upstart init. Eis alguns exemplos de eventos de sistema: 

■ O servidor e inicializado. 

■ O comando init e utilizado. 

■ Um dispositivo USB e conectado ao servidor. 

Enquanto os daemons init classicos poderiam lidar com os dois primeiros exemplos de eventos, 
eles nao poderiam lidar bem com o terceiro. 

Upstart trata servięos por meio trabalhos definidos. Um trabalho Upstart pode ser urna tarefa 
ou um servięo. Urna tarefa executa um servięo limitado, completa seu trabalho e depois retorna a um 
estado de espera. Um servięo, por outro lado, e um programa de longa duraęao que nunca termina seu 
trabalho ou autotermina, mas em vez disso permanece em estado de execuęao. Um daemon e um 
exemplo de um trabalho do servięo Upstart. 

O exemplo a seguir mostra diversos trabalhos Upstart que incluemtanto trabalhos de tarefa como 
trabalhos de servięo. Os trabalhos de tarefa (task jobs ) estao em estado de stop/waiting, como a 
tarefa rc. Os trabalhos de servięo (service jobs ) estao emumestado start/running, como o 
daemon cups. 

$ initctl list 

avahi-daemon start/running, process 456 




mountall-net stop/waiting rc stop/waiting 
rsyslog start/running, process 411 

ssh start/running, process 405 
udev-fallback-graphics stop/waiting 
control-alt-delete stop/waiting 
hwclock stop/waiting 
mounted-proc stop/waiting 

network-manager start/running, process 458 

rc-sysinit stop/waiting cups start/running, process 1066 

tty6 start/running, process 833 
ureadahead stop/waiting 

Esses varios trabalhos sao definidos por meio de um arquivo de definięao de trabalho. Todos os 
arquivos de definięao de trabalho estao localizados no diretório /etc/init, como mostrado aqui: 

$ ls /etc/init 

acpid.conf 
alsa-restore.conf 
alsa-store.conf 
anacron.conf 
control-alt-delete.conf 
cron.conf 
cups.conf 

dbus.conf rc-sysinit.conf 
failsafe.conf 
friendly-recovery.conf 
hostname.conf 
hwclock.conf 
hwclock-save.conf 
irąbalance.conf 
lightdm.conf 

O daemon Upstart init depende de eventos para acionar determinados servięos para iniciar, 
parar, reiniciar etc. Eventos sao comunicados ao daemon Upstart init ou sao criados pelo 
daemon Upstart. Isso e chamado de um evento emitido. As aęóes tomadas quando umevento 
e emitido dependem das configuraęóes em um arquivo de configuraęao de trabalho. Considere o 


netwórking.conf 

network-interface.conf 

network-interface-security.conf 

network-manager.conf 

procps.conf 

rc.conf 

rcS.conf 

dmesg.conf rsyslog.conf 

setvtrgb.conf 

ssh.conf 

ttyl.conf 

tty2.conf 

tty3.conf 

tty4.conf 

tty5.conf 



seguinte arquivo de configuraęao do daemon Network Manager: 


? cat /etc/init/network-manager.conf 
# network-manager - network conr.ection manager 
t 

t The Ketwork Kanager daemon mar.ages the system's network connections, 
t automatically switching between the best avaolable. 

description "network ccnnection manager" 

start on ■:local-filesystems and started dbus) 

stop on stcpping dbus 

expect fork 
respawn 

exec NetworkManager 
? 

A partir do exemplo, voce pode ver que ha dois eventos que devem ocorrer para disparar o daemon 

Upstart init a fim de iniciar o daemon Network Manager: 

■ O evento local-filesystems — O daemon local-filesystems emitira esse evento 

quando todos os sistemas de arquivos locais no arquivo de configuraęao Upstart init 
estiverem montados. 

■ O evento dbus daemon started — O daemon Upstart init emite esse evento 

started quando o daemon dbus atingir o estado start/running. 

Assim, quando esses dois eventos ocorrem, o daemon Upstart init e informado e, entao, inicia o 
daemon NetworkManager. 

Como o daemon Upstart init pode lidar com esses eventos e acompanha o status (estado) dos 
processos, ele e muitas vezes referido como urna “maquina de estado”. O daemon Upstart init 
tambeme referido como um“mecanismo de evento”, porque ele próprio emite eventos. 

O daemon Upstart init e urna abordagem flexivel, organizada e inteligente de lidar com eventos 
do servidor. A Figura 15.3 mostra o curso de aęao do daemon Upstart init carregando os 
processos corretos na inicializaęao do sistema. 



HURA 15.3 


rso de aęao de Upstart init na inicializaęao do servidor. 

Aprendendo a retrocompatibilidade de Upstart com SysVinit 

Upstart fornece retrocompatibilidade como daemon SysVinit. Isso deutempo para as 
distribuięóes Linuxmigraremlentamente para o Upstart. 

O arquivo /etc/inittab ainda esta emalgumas distribuięóes. Distribuięóes RHELe Fedora ainda 
usando Upstart usam /etc/inittab para inicializar o padrao runlevel listado. A 
distribuięao Ubuntu nao temmais o arquivo. O exemplo do arquivo /etc/inittab que se segue 
vem de um servidor que executa urna versao do Fedora, a qual usa o daemon Upstart init. 

$ cat /etc/inittab 

# inittab is only used by upstart for the default runlevel. 

# 

# ADDING OTHER CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR 
SYSTEM. 

# 

# 

id:5:initdefault: 

Como voce pode ver a partir das linhas de comentario no arquivo /etc/inittab, a unica coisa 
para que esse arquivo e usado nas distribuięóes Linux que o manteme mudar o runlevel padrao 
durante a inicializaęao do servidor. 


)ica 

ara alteraro nivel de execuęao padrao em urna distribuięao Ubuntu que usa o Upstart, edite /etc/init/rc- 
ysinit. conf e altere a linha default_runlevel=#, onde # e um numero de 2 a 5. Mas lembre-se 
ue os niveis de execuęao 2-5 no Ubuntu sao equivalentes a SysVinit runlevel 5. Portanto, essa 
tividade nao tem sentido. 


Acompatibilidade do sistema de inicializaęao com SysVinit e mantida emalgumas distribuięóes, 
como o Ubuntu, por meio do arquivo de configuraęao /etc/init/rc-sysinit. conf. Trata-se 
de um dos arquivos de configuraęao utilizados para a inicializaęao do sistema, como mostrado 
anteriormente na Figura 15.3. No exemplo a seguir, voce pode ver que o Upstart verifica se existe 
umarquivo /etc/inittab e tambemexecuta os Scripts que ainda podemestar no diretório 
/etc/init.d/rcS: 

$ cat /etc/init/rc-sysinit.conf 

# rc-sysinit - System V initialisation compatibility 







# 

# This task runs the old System V-style system initialisation 
Scripts, 

# and enters the default runlevel when finished. 

start on (filesystem and static-network-up) or failsafe-boot 
stop on runlevel 

# Default runlevel, this may be overriden on the kernel command- 
line 

# or by faking an old /etc/inittab entry 
env DEFAULT_RUNLEVEL=2 

emits runlevel 

task 

script 

# Check for default runlevel in /etc/inittab 

if [ -r /etc/inittab ] 
then 

eval "$(sed -nre 's/~[~#][~:]*:([0-6sS]): in i t default: 

.*/DEFAULT_RUNLEVEL="\l";/p' /etc/inittab || true)" 
fi 

# Check kernel command-line for typical arguments 
for ARG in $(cat /proc/cmdline) 

do 

case "${ARG}" in 
-b|emergency) 

# Emergency shell 

[ -n "${FROM_SINGLE_USER_MODE }” ] || sulogin 

r r 

[0123456sS]) 

# Override runlevel 
DEFAULT_RUNLEVEL="${ARG}" 

r r 

-s|single) 

# Single user modę 

[ -n "${FROM_SINGLE_USER_MODE }” ] || DEFAULT_RUNLEVEL=S 

r r 

esac 

done 

# Run the system initialisation Scripts 

[ -n "${FROM_SINGLE_USER_MODE }” ] || /etc/init.d/rcS 

# Switch into the default runlevel 



telinit "${DEFAULT_RUNLEVEL}" 
end script 

Como voce pode ver no exemplo anterior, o conceito de runlevel e mantido no daemon Upstart 
init. Na verdade, nao ha sequer umsinal de runlevel que Upstart pode emitir. 

# man -k “event signal” 


control-alt-delete 

Alt-Delete 

(7) 

- event 

signalling 

console 

; press of Control 

keyboard-reąuest 

(7) - event 
UpArrow 

signalling 

console 

; press of Alt- 

power-statuś- 
changed 

(7) 

- event 

signalling 

change 

of power status 

runlevel 

(7) 

- event 

signalling 

change 

of system runleve 

started 

(7) 

- event 

signalling 

that a 

job is running 

starting 

(7) 

- event 

signalling 

that a 

job is starting 

startup 

(7) 

- event 

signalling 

system 

startup 

stopped 

(7) 

- event 

signalling 

that a 

job has stopped 

stopping 

(7) 

- event 

signalling 

that a 

job is stopping 


Mudar para um runlevel ainda e permitido por meio dos comandos init ou telinit. Qualquer 
evento de runlevel e tratado pela tarefa rc. 

$ initctl status rc 

rc stop/waiting 

O arquivo de configuraęao do trabalho de tarefa rc e mostrado a seguir. Quando umevento de 
runlevel e emitido, o arquivo de configuraęao rc chama o script /etc/rc . d/rc. Quando 
chamado, o script / etc/rc. d/rc executa os Scripts localizados no diretório 
/etc/rc . d/rc#. d, onde # e o runlevel escolhido. Isso fornece retrocompatibilidade do 
runlevel como SysVinit. 

$ cat /etc/init/rc.conf 

# rc - System V runlevel compatibility 

# 

# This task runs the old sysv-rc runlevel Scripts. It 

# is usually started by the telinit compatibility wrapper. 

start on runlevel [0123456] 
stop on runlevel [!$RUNLEVEL] 
task 



export RUNLEVEL 
console output 

exec /etc/rc.d/rc $RUNLEVEL 


Se voltar e examinar o arquivo /etc/inittab na seęao do daemon SysVinit classico, voce vai 
notar que /etc/inittab tambemtratoudo carregamento dos processos getty oumingetty. O 
daemon Upstart init trata dessa tarefa via start-ttys. 

# initctl status start-ttys 
start-ttys stop/waiting 

O arquivo de configuraęao do trabalho de tarefa start-ttys e mostrado a seguir. Quando um 
evento de runlevel e emitido, o arquivo de inicializaęao start-ttys carrega o processo 

getty oumingetty. 

$ cat /etc/init/start-ttys.conf 

# 

# This service starts the configured number of gettys. 

start on stopped rc RUNLEVEL=[2345] 

env ACTIVE_CONSOLES=/dev/tty[1-6] 

env X_TTY=/dev/ttyl 

task 

script 

. /etc/sysconfig/init 

for tty in $(echo $ACTIVE_CONSOLES) ; do 

[ "$RUNLEVEL" = "5" -a "$tty" = "$X_TTY" ] && continue 

initctl start tty TTY=$tty 
done 

end script 

Embora o daemon Upstart init forneęa retrocompatibilidade como daemon SysVinit 
classico, e seja urna maquina de estado que pode lidar comeventos emconstante mudanęa emum 
servidor, ele nao e o unico daemon init moderno dispomvel para o servidor Linux. Outro daemon 
init moderno e systemd. 

Entendendo systemd init 

O daemon systemd init tambem e chamado de daemon systemd ou daemon system, 
systemd pode substituir os daemons SysVinit e Upstart init. Esse daemon init moderno 
atualmente funciona no Fedora 15 e vers5es superiores e e compatlvel tanto com SysVinit como 
com Upstart. O tempo de inicializaęao do sistema e reduzido por systemd porque ele inicia 
menos servięos e de forma paralela. Alemdisso, systemd pode lidar com um ambiente fluido 



porque supervisiona todos os processos em todo o servidor Linux. 

Aprendendo noęóes basicas sobre systemd 

Como daemon SysVinit, os servięos sao parados e iniciados combase emnlveis de execuęao. 
systemd tambemesta interessado nos mveis de execuęao, mas eles sao chamados de target 
units. Unidades sao o foco de systemd. Urna unidade e um grupo constituido por umnome, um 
tipo e um arquivo de configuraęao, e se concentra em um determinado servięo ou aęao. Os oito tipos 

de systemd units sao: 

■ automount 

■ device 

■ mount 

■ path 

■ servięo 

■ snapshot 

■ socket 

■ target 

As duas principais unidades systemd comque voce precisa se preocupar para lidar comservięos 
sao service units e target units. Urna unidade de servięo (service unit) serve para 
gerenciar daemons em seu servidor Linux. Urna unidade alvo (target unit) e simplesmente um 
grupo de outras unidades. 

O exemplo a seguir mostra varias systemd service units e target units. As service 
units temnomes de daemon familiares, como cups and sshd. Notę que o nome de cada service 
unit termina com . service. As target units mostradas aqui temnomes como sysinit. 
(sysinit e usado para iniciar os servięos na inicializaęao do sistema.) O nome das target 
units termina com . target. 

# systemctl list-units | grep .service 

cups.service loaded active running 

CUPS Printing Service 

dbus.service loaded active running 

D-Bus System Message 
Bus 

NetworkManager.serviceloaded active running 

Network Manager 



prefdm.service 


loaded active running 
Display Manager 

remount-rootfs.serviceloaded active exited 

Remount Root FS 

rsyslog.service loaded active running 

System Logging 
Service 

sshd.service loaded active running 

OpenSSH server daemon 

system- loaded active running 

s...yboard.service System Setup Keyboard 

systemd-logind.serviceloaded active running 

Login Service 

# 

# systemctl list-units | grep .target 

basie.target loaded active active 

Basic System 

eryptsetup.target loaded active active 

Encrypted Volumes 

getty.target loaded active active 

Login Prompts 

graphical.target loaded active active 

Graphical Interface 

local-fs-pre.target loaded active active local- loaded active 

Local File Systems fs.targetactive Local 
(Pre) File Systems 

multi-user.target loaded active active 

Multi-User 

network.target loaded active active 

Network 

remote-fs.target loaded active active 

Remote File Systems 

sockets.target loaded active active 

Sockets 

sound.target loaded active active 

Sound Card 

swap.target loaded active active 



sysinit.target 


Swap 

loaded active active 

System Initialization 

syslog.target loaded active active 

Syslog 

Os arquivos de configuraęao das unidades de sistema Linux estao localizados nos diretórios 
/lib/systemd/system e /etc/systemd/system. \bce pode utilizar o comando ls para 
examinar esses diretórios, mas o metodo preferido e usar urna opęao no comando systemctl, como 
segue: 

# systemctl list-unit-fileś --type=service 

UNIT FILE STATE 

cups.service enabled 


dbus.service static 


NetworkManager.service 


enabled 


poweroff.service 


static 


sshd.service 
sssd.service 


enabled 

disabled 


134 unit files listed. 


Os arquivos de configuraęao de unidade mostrados no código anterior estao associados a urna 
service unit. Os arquivos de configuraęao de Target units podem ser visualizados pelo 
seguinte metodo. 


# systemctl list-unit-fileś 

UNIT FILE 
anaconda.target 
basie.target 
bluetooth.target 
eryptsetup.target 
ctrl-alt-del.target 


--type=target 

STATE 

static 

static 

static 

static 

disabled 



default.target 

enabled 

shutdown.target 

static 

sigpwr.target 

static 

smartcard.target 

static 

sockets.target 

static 

sound.target 

static 

swap.target 

static 

sysinit.target 

static 

syslog.target 

static 

time-sync.target 

static 

umount.target 

43 unit files listed. 

static 


Observe que ambos os exemplos de arquivo de configuraęao de unidade mostrados exibem as 
unidades comum status de static, enabled ou disabled. O status enabled significa que a 
unidade esta habilitada. O status disabled significa que a unidade esta desabilitada. O próximo 
status, static, e umpouco confuso. Significa “estaticamente habilitada” e isso significa que a 
unidade esta habilitada por padrao e nao pode ser desabilitada, nem por root. 

Os arquivos de configuraęao service unit contemuma grandę quantidade de informaęóes, tais 
como quais outros servięos devem ser iniciados, quando podem ser iniciados, qual arquivo ambiental 
usar etc. O exemplo a seguir mostra o arquivo de configuraęao de unidade do sshd: 

# cat /lib/systemd/system/sshd.service 

[Unit] 

Description=OpenSSH server daemon 

After=syslog.target network.target auditd.service 
[Service] 

EnvironmentFile=/etc/sysconfig/sshd 
ExecStart=/usr/sbin/sshd -D $OPTIONS 
ExecReload=/bin/kill -HUP $MAINPID 

[Install ] 

WantedBy=multi-user.target 

# 

Esse arquivo de configuraęao de service unit basico tern as seguintes opędes: 

■ Description — Essa e urna descrięao livre (linha de comentario) do servięo. 

■ Af ter — Essa definięao configura a ordenaęao. Em outras palayras, ela lista as unidades que 



devem ser ativadas antes de esse servięo ser iniciado. 

■ Environment File — O arquivo de configuraęao do servięo. 

■ ExecStart — O comando usado para iniciar esse servięo. 

■ ExecReload — O comando usado para recarregar esse servięo. 

■ WantedBy — Isso identifica a target unit a que esse servięo pertence. 

Notę que a target unit, multi-user. target, e utilizada no arquivo de configuraęao sshd 
service unit. A sshd service unit e procurada pela multi-user. target. Emoutras 
palavras, quando a unidade multi-user. target e ativada, a sshd service unit e 
iniciada. 

\bce pode ver as varias unidades que urna target unit ativara usando o seguinte comando: 

# systemctl show --property "Wants" multi-user.target 

Wants=multipathd.service avahi-daemon.service sshd-keygen.se 
(END) q 

Infelizmente, o comando systemctl nao fermata bema saida disso. O texto literalmente rola para 
fora da tela e nao e possivel ver os resultados completos. E voce tern que digitar um q para voltar ao 
prompt de comando. Para corrigir esse problema, redirecione a saida por meio de alguns comandos de 
formataęao para produzir urna listagem elegante, ordenada alfabeticamente, como mostra o exemplo a 
seguir. 

# systemctl show --property "Wants" multi-user.target | 

> fmt -10 | sed 's/Wants=//g' | sort 

abrt-ccpp.service 
abrtd.service 
abrt-oops.service 
abrt-vmcore.service 
atd.service 
auditd.service 
avahi-daemon.service 
crond.service 
cups.path 
dbus.service 
fcoe.service 
getty.target 
irąbalance.service 
iscsid.service 
iscsi.service 
livesys-late.service 
livesys.service 
lldpad.service 



mcelog.service 
mdmonitor.service 
multipathd.service 
netfs.service 
NetworkManager.service 
plymouth-quit.service 
plymouth-quit-wait.service 
remote-fs.target 
rsyslog.service 
sendmail.service 
sm-client.service 
sshd-keygen.service 
sshd.service 

systemd-ask-password-wall.path 
systemd-logind.service 
systemd-update-utmp-runlevel.service 
systemd-user-sessions.service 
# 

Essa tela mostra todos os servięos e varias outras unidades que serao ativadas (iniciadas), incluindo o 
sshd, quando a unidade multi-user . target for ativada. Lembre-se de que uma target 
unit e simplesmente umagrupamento de outras unidades, como mostrado no exemplo anterior. Alem 
disso, observe que as unidades desse grupo nao sao todas service units. Ha path units e 
tambemoutra target unit . 

A target unit temtanto Wants como requisitos, chamados Requires. Um Wants significa que 
todas as unidades listadas sao acionadas para ativar (iniciar). Se elas falharem ou nao puderemser 
iniciadas, semproblema — a target unit continua alegremente. O exemplo anterior e uma 
exibięao de Wants somente. 

UmRequires e muito mais rigoroso e potencialmente catastrófico do que um Wants. Um Reąuires 
significa que todas as unidades indicadas sao acionadas para ativar (iniciar). Se elas falharem ou nao 
puderem ser iniciadas, toda a unidade (grupo de unidades) e desativada. 

Abce pode ver as varias unidades de uma target unit Requires (deve ativar ou a unidade 
falhara) usando o comando no exemplo a seguir. Observe que a saida de Requires e muito mais 
curta do que a de Wants para o multi-user target. Assim, nenhuma formataęao especial da 
saida e necessaria. 

# systemctl show --property "Reąuires" multi-user.target 

Requires=basic.target 

A target units tambem tern arquivos de configuraęao, assim como as unidades de servięo. O 
exemplo a seguir mostra o conteudo do arquivo de configuraęao multi-user. target. 


# cat /lib/systemd/system/multi-user.target 



# This file is part of systemd. 

# 

[Unit] 

Description=Multi-User 
Requires=basic.target 

Conflicts=rescue.service rescue.target 
After=basic.target rescue.service rescue.target 
AllowIsolate=yes 

[Install] 

Alias=default.target 

Esse arquivo de configuraęao de target unit basico temas seguintes opęóes: 

■ Description — Isso e apenas urna descrięao livre do alvo. 

■ Reąuires — Se este multi-user . target for ativado, a target unit listada 

tambemsera ativada. Se a target unit listada estiver desativada ou falhar, entao multi- 
user . target sera desativado. Se nao houver opęóes Af ter e Bef ore, entao, tanto o 
multi-user . target como a target unit listada serao ativados simultaneamente. 

■ Conf licts — Essa configuraęao evita conflitos de servięos. Iniciar multi- 

user . target para os alvos e servięos listados e vice-versa. 

■ After — Essa definięao configura a ordenaęao. Emoutras palavras, essa opęao determina que 

as unidades devem ser ativadas antes de iniciar esse servięo. 

■ Allowlsolate — Essa opęao e urna booleana do tipo yes ou no. Se configurada como 

yes, essa target unit, multi-user. target, e ativada junto comsuas dependencias 
e todas as outras sao desativadas. 

■ ExecStart — Esse comando inicia o servięo. 

■ ExecReload — Esse comando recarrega o servięo. 

■ Alias — Comesse comando, systemd vai criar umvinculo simbólico a partir dos nomes de 

target unit listados comessa unidade, multi-user. target. 

Para obter mais informaęóes sobre esses arquivos de configuraęao e suas opęóes, digite man 

systemd. service, man systemd. target e man systemd. unit na linha de comando. 

Para o servidor Linux usando systemd init, o processo de inicializaęao sera mais facil de seguir, 
agora que voce entende systemd target units. Na inicializaęao, systemd ativa a unidade 
def ault. target. Essa unidade e transformada emalias para multi-user . target ou 
graphical. target. Assim, dependendo do alias configurado, os servięos visados pela 
target unit sao iniciados. A Figura 15.4 mostra o curso de aęao de systemd init em 



carregar os processos corretos na inicializaęao do sistema. Se voce esta acompanhando os exemplos 
utilizados nesta seęao, o default. target e transformado emalias para multiuser . target, 
como mostrado na Figura 15.4. 

Se precisar de mais aj uda para entender systemd init, ha urna excelente documentaęao feita pelo 
próprio autor emhttp: //Opointer . de/blog/proj ects/systemd-docs . html. Alem 
disso, voce pode digitar man -k systemd na linha de comando para obter urna listagem das varias 
utilidades de systemd nas paginas man. 



3URA 15.4 _ 

rso de aęao de systemd init na inicializaęao do servidor. 

Aprendendo a retrocompatibilidade de systemd com SysVinit 

O daemon systemd init manteve retrocompatibilidade como daemon SysVinit. Isso permite 
as distribuięóes Linuxlentamente migrarempara systemd. 

Embora os niveis de execuęao nao sejamrealmente parte de systemd, a infraestrutura de systemd 
foi criada para oferecer compatibilidade com o conceito de niveis de execuęao. Ha sete arquivos de 
configuraęao de target units criados especificamente para retrocompatibilidade com 

SysVinit: 

■ runlevelO.target 

■ runlevell.target 

■ runlevel2.target 

■ runlevel3.target 

■ runlevel4.target 

■ runlevel5.target 

■ runlevel6.target 

Como voce provavelmente ja descobriu, ha umarquivo de configuraęao de target unit para cada 
umdos sete niveis de execuęao classicos de SysVinit. Esses arquivos de configuraęao de target 
unit sao simbolicamente vinculados aos arquivos de configuraęao de target unit que mais se 
aproximamda ideia do runlevel original. No exemplo a seguir, sao mostrados vinculos simbólicos 
para runlevel target units. Notę que as runlevel target units para runlevel 
2, 3 e 4 sao simbolicamente vinculadas a multi-user . target. Aunidade multi- 
user . target e semelhante ao legado do Extended Multi-user Modę. 

# ls -1 /lib/systemd/system/runlevel*.target 

lrwxrwxrwx. 1 root root 15 Mar 27 15:39 

/lib/systemd/system/runlevelO.target -> poweroff.target 

lrwxrwxrwx. 1 root root 13 Mar 27 15:39 
/lib/systemd/system/runlevell.target -> rescue.target 

lrwxrwxrwx. 1 root root 17 Mar 27 15:39 

/lib/systemd/system/runlevel2.target -> multi-user.target 

lrwxrwxrwx. 1 root root 17 Mar 27 15:39 

/lib/systemd/system/runlevel3.target -> multi-user.target 

lrwxrwxrwx. 1 root root 17 Mar 27 15:39 

/lib/systemd/system/runlevel4.target -> multi-user.target 




lrwxrwxrwx. 1 root root 16 Mar 27 15:39 

/lib/systemd/system/runlevel5.target -> graphical.target 

lrwxrwxrwx. 1 root root 13 Mar 27 15:39 

/lib/systemd/system/runlevel6.target -> reboot.target 

# 

O arquivo /etc/inittab ainda existe, mas só contem comentarios dizendo que esse arquivo de 
configuraęao nao e usado e da algumas informaęóes basicas sobre systemd. O arquivo 
/etc/inittab nao temmais nenhumverdadeiro uso funcional. O exemplo a seguir e de umarquivo 
/etc/inittab emumservidor Linuxque usa systemd. 

# cat /etc/inittab 

# inittab is no longer used when using systemd. 

# 

# ADDING CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM. 

# 

# Ctrl-Alt-Delete is handled by 

/etc/systemd/system/ctrl-alt-del.target 

# 

# systemd uses 'targets' instead of runlevels. 

By default, there are two main targets: 

# 

# multi-user.target: analogous to runlevel 3 

# graphical.target: analogous to runlevel 5 

# 

# To set a default target, run: 

# 

# ln -s /lib/systemd/system/<target name>.target 
/etc/systemd/system/default.target 

O arquivo /etc/inittab explica que, se voce quer algo semelhante a umclassico runlevel 3 
ou 5 como seu runlevel padrao, tera de criar umvlnculo simbólico a partir da unidade 
default. target para o runlevel target unit de sua escolha. Para verificar a que 
default. target esta simbolicamente vinculado (ou, em termos de legado, verificar o 
runlevel padrao), use o comando mostrado aqui. Ybce pode ver que no servidor Linux, o padrao e 
iniciar no runlevel 3 legado. 

# Is -1 /etc/systemd/system/default.target 
lrwxrwxrwx. 1 root root 36 Mar 13 17:27 

/etc/systemd/system/default.target -> 

/lib/systemd/system/runlevel3.target 

Acapacidade de mudar nlveis de execuęao usando o comando init ou telinit ainda esta 
dispomyel. Quando emitido, qualquer umdos comandos sera traduzido emuma solicitaęao de 



ativaęao de systemd target unit. Portanto, digitar init 3 na linha de comando na verdade 
emite o comando systemctl isolate multi-user . target. Alemdisso, voce ainda pode 
usar o comando runlevel para determinar o runlevel legado atual, mas isso e fortemente 
desencorajado. 

O SysVinit /etc/inittab classico cuidava de carregar os processos getty oumingetty. 
systemd init lida comisso via unidade getty. target. getty. target e ativado pela 
unidade multi-user . target. \bce pode ver como essas duas target units estao 
vinculadas como seguinte comando: 

# systemctl show --property "WantedBy" getty.target 

WantedBy=multi-user.target 

Apartir do Fedora 16, a conyersao de servięos basicos de SysVinit para systemd esta completa. 
Mas para saber o estado atual de um determinado servięo, visite a pagina web de compatibilidade de 

systemd em 

http://fedoraproj ect.org/wiki/User: Johannbg/QA/Systemd/compatabilit^ 

Agora que voce tern urna compreensao basica dos daemons init classicos e modernos, e hora de 
fazer algumas aęóes praticas de administraęao de seryidor que envolvemo daemon init. 


Auditandoservięos 

Como um administrador de Linux, yoce precisa auditar os seryięos que estao sendo oferecidos em seu 
seryidor comrelaęao a documentaęao, seguranęa e soluęao de problemas. Normalmente, voce auditara 
seryięos para fins de documentaęao se tiver “herdado” um seryidor, embora alguns sites faęam isso 
regularmente. Por razóes de seguranęa, sera necessario desabilitar e remoyer qualquer sistema de 
seryięos nao utilizados descobertos por meio do processo de auditoria. O mais importante para a 
soluęao de problemas e que voce precisa ser capaz de rapidamente saber o que deve e o que nao deve 
ser executado em seu seryidor Linux. 

Naturalmente, saber qual daemon init esta sendo usado pelo seu seryidor Linux e a primeira 
informaęao a obter. Como determinar isso foi visto na seęao “Entendendo o daemon init do Linux” 
deste capitulo. O resto desta seęao esta organizado emsubseęóes sobre os yarios daemons init. 


Auditando o daemon SysVinit classico 

Para ver todos os seryięos que estao sendo oferecidos por um seryidor Linux usando o daemon 
SysVinit classico, use o comando chkconf ig. O exemplo a seguir mostra os seryięos 
disponiyeis emumclassico seryidor Linux SysVinit. Notę que cada runlevel (0-6) e mostrado 
para cada seryięo comum status de on ou of f. O status indica se um determinado seryięo esta 
iniciado (on) ounao (of f) para esse runlevel. 




# chkconfig --list 


ConsoleKit 

m 

m 

o 

• • 

o 

1: of f 2 : of f 3 

: on 

4 : on 

5 : on 

6 : of 

NetworkManager 

m 

m 

o 

• • 

o 

1: of f 2 : of f 3 

: of f 

4 : of f 

5 : of f 

6 : of 

crond 

4-1 

O 

• • 

o 

1: of f 2 : on 3 

: on 

4 : on 

5 : on 

6 : of 

cups 

4-1 

4-1 

O 

• • 

o 

1: of f 2 : on 3 

: on 

4 : on 

5 : on 

6 : of 

sshd 

4-1 

4-1 

O 

• • 

o 

1: of f 2 : on 3 

: on 

4 : on 

5 : on 

6 : of 

syslog 

4-1 

4-1 

O 

• • 

o 

1: of f 2 : on 3 

: on 

4 : on 

5 : on 

6 : of 

tux 

0 : of f 

1:off 2 : off 3 

: off 4:off 5:off 

6 : of f 



udev-post 

4-1 

4-1 

o 

• • 

o 

1: of f 2 : of f 3 

: on 

4 : on 

5 : on 

6 : of 

vncserver 

0 : of f 

1: of f 2 : of f 3 

: of f 

4 : of f 

5 : of f 

6 : of 

winbind 

4-1 

4-1 

o 

• • 

o 

1: of f 2 : of f 3 

: of f 

4 : of f 

5 : of f 

6 : of 

wpa supplicant 

0 : of f 

1:off 2 : off 3 

: of f 

4 : of f 

5 : of f 

6 : of 

xf s 

0 : of f 

1: of f 2 : on 3 

: on 

4 : on 

5 : on 

6 : of 

ypbind 

4-1 

4-1 

o 

• • 

o 

1: of f 2 : of f 3 

: of f 

4 : of f 

5 : of f 

6 : of 

yum-updatesd 

4-1 

4-1 

O 

• • 

o 

1: of f 2 : of f 3 

: on 

4 : on 

5 : on 

6 : of 


Alguns servięos no exemplo, nunca sao iniciados, como vncserver. Outros servięos, como o 
daemon cups, sao iniciados nos niveis de execuęao 2 a 5. 

Usando o comando chkconfig, voce nao pode dizer se o servięo esta sendo executado. Para fazer 
isso, voce vai precisar usar o comando service. Para aj udar a isolar apenas os servięos que estao 
sendo executados, o comando service e redirecionado para o comando grepe ordenado, como 
segue. 

# service --status-all | grep running... | sort 

anacron (pid 2162) is running... 

atd (pid 2172) is running... 

auditd (pid 1653) is running... 

automount (pid 1952) is running... 

console-kit-daemon (pid 2046) is running... 

crond (pid 2118) is running... 

cupsd (pid 1988) is running... 

sshd (pid 2002) is running... 
syslogd (pid 1681) is running... 
xfs (pid 2151) is running... 
yum-updatesd (pid 2205) is running... 



\bce tambempode usar os comandos chkconf ig e service para ver as configuraęóes de um 
servięo individual. Usando os dois comandos no exemplo a seguir, voce pode visualizar as 
configuraęóes do daemon cups. 

9 chkconfig —list cups 

cups 0:off l:off 2:on 3:on 4:on S:on €:off 

* 

9 service cups status 

cupsd (pid 1583) is running... 

\bce pode ver que cupsd esta configurado para iniciar emcada runlevel, exceto 0, 1 e 6, e, a 
partir do comando service, voce pode ver que ele esta sendo executado. Alemdisso, o numero de 
ID de processo (PID) e fornecido para o daemon. 

Auditando o daemon Upstart init 

Para ver todos os servięos executados emum servidor Linux usando o daemon Upstart init, use 
o seguinte comando: 

# initctl list | grep start/running 

tty (/dev/tty3) start/running, process 1163 

system-setup-keyboard start/running, process 656 
prefdm start/running, process 1154 

Tenha emmente que muitos servięos podemainda nao ter sido portados para o daemon Upstart 
init. Portanto, voce tambemvai precisar usar o comando SysVinit classico, service, para 
verificar quaisquer servięos SysVinit restantes. Notę que emalgumas distribuięóes, voce pode ver 
alguns servięos na salda de ambos os comandos, initctl e service. 

# service --status-all | grep running 

abrtd (pid 1118) is running... 
acpid (pid 996) is running... 
atd (pid 1146) is running... 

rsyslogd (pid 752) is running... 
sendmail (pid 1099) is running... 


itenęao 

ó porque um servięo nao esta em estado running (funcionando) nao significa que ele nao esta disponfvel. 0 
3rvięo pode estarem um estado stopped/wait (parado/espera), esperando um evento no sistema. Para ver 
idos os servięos, nao importa seu estado, remova a parte grep dos comandos initctl list e 
ervice --status-all anteriores. 





Para mostrar o status de umservięo individual, utilize initctl seo servięo tiver sido portado para 
o Upstart; e o comando service, se ele ainda nao tiver sido portado. O exemplo a seguir mostra 
dois estados — um servięo que foi portado para o Upstart e umque nao foi. 

# initctl status vpnc-cleanup 

vpnc-cleanup stop/waiting 

# 

# service ssh status 

sshd (pid 970) is running... 

O daemon ssh ainda nao foi portado, no servidor Linux, para o Upstart. Portanto, ssh precisa do 
comando service coma opęao de status para ser utilizado para auditoria. O servięo vpnc- 
cleanup e umservięo Upstart, portanto, ele precisa que o comando initctl status seja 
utilizado. Emalgumas distribuięóes, como o Ubuntu, voce tambempode usar o comando initctl 
status para servięos que ainda nao forammigrados para o Upstart. 

Auditando initsystemd 

Para ver todos os servięos que estao sendo oferecidos por umservidor Linuxusando systemd, use o 
seguinte comando: 


# systemctl list-unit-fileś --type=service | 

| grep -v disabled 

UNIT FILE 

STATE 

abrt-ccpp.service 

enabled 

abrt-oops.service 

enabled 

abrt-vmcore.service 

enabled 

abrtd.service 

enabled 

alsa-restore.service 

static 

alsa-store.service 

static 

anaconda-shell@.service 

static 

arp-ethers.service 

enabled 

atd.service 

enabled 

auditd.service 

enabled 

avahi-daemon.service 

enabled 

bluetooth.service 

enabled 

console-kit-log-system-restart.service 

static 

eonsole-kit-log-system-start.service 

static 

console-kit-log-system-stop.service 

static 

crond.service 

enabled 



sshd-keygen.service 
sshd.service 

system-setup-keyboard.service 


enabled 

enabled 

enabled 


134 unit files listed. 

Lembre-se de que as tres possibilidades de status para um servięo systemd sao enabled, 
disabled ou static. Nao e necessario induir disabled nessa auditoria, o que e efetivamente 
feito usando a opęao -v no comando grep, como mostrado no exemplo anterior. O estado static e 
essencialmente enabled, e, portanto, deve ser inclmdo. 


Jota 

maioria dos servięos de sistema foi portada para o systemd. Mas se quiserconfirmar, voce pode ver o status 
a migraęao de um servięo particular em 

ttp://fedoraproj ect.org/wiki/User: Johannbg/QA/Systemd/compatability. 


Para ver se um determinado servięo esta sendo executado, use o seguinte comando: 

# systemctl status cups.service 
cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: active (running) sińce Mon, 30 Apr 2015 12:36:31 -0400; 
13h ago 

Main PID : 1315 (cupsd) 

CGroup: name=systemd:/system/cups.service 
1315 /usr/sbin/cupsd -f 

O comando systemctl pode ser usado para mostrar o status de umservięo individual. No exemplo 
anterior, o servięo de impressao foi escolhido. Observe que o nome do servięo e cups . service. 
Urna grandę quantidade de informaęóes uteis sobre ele e fornecida aqui, como o fato de que esta 
habilitado e ativo, sua hora de inicio e seu ID de processo (PID) tambem 

Agora que voce pode auditar os servięos e determinar algumas informaęóes sobre eles, voce precisa 
saber como iniciar, parar e recarregar os servięos em seu servidor Linux. 


Parando e iniciando servięos 


As tarefas de iniciar, parar e reiniciar servięos normalmente estao relacionadas com necessidades 







imediatas — em outras palavras, gerenciar os servięos sem uma reinicializaęao do servidor. Por 
exemplo, se voce quiser parar temporariamente um servięo, entao voce esta na seęao certa. Mas se 
quiser parar umservięo e nao permitir que ele seja reiniciado na reinicializaęao do servidor, entao 
voce precisa realmente desativar o servięo, o que e coberto na seęao “Configurando servięos 
persistentes”, mais adiante, neste capitulo. 


Parando e iniciando o daemon SysVinit classico 

O comando principal para parar e iniciar servięos SysViniteo comando service. Como 
comando service, o nome do servięo que voce quer controlar vem em segundo lugar na linha de 
comando. A ultima opęao e o que voce quer fazer como servięo, stop, start, restart etc. O 
exemplo a seguir mostra como parar o daemon cups. Observe que um OK e dado, o que permite que 
voce saiba que cupsd foi parado comexito. 

4 service cups status 

cupsd (pid 5957) is running... 

* 

4 service cups stop 

Stopping cups: [ OK ] 

4 

4 service cups status 

cupsd is stopped 


Para iniciar umservięo, basta adicionar uma opęao start emvez de uma opęao stop no firn do 
comando service, como segue. 

4 service cups start 

Starting cups: [ OK ] 

4 

4 service cups status 

cupsd (pid €960) is running... 

Para reiniciar umservięo SysVinit, a opęao restart e usada. Essa opęao para o servięo e, 
entao, imediatamente, o inicia de novo. 

4 service cups restart 

Stopping cups: [ OK ] 

Starting cups: [ OK ] 

4 

4 service cups status 

cupsd (pid 7955) is running... 

Quando um servięo ja esta parado, um restart gera um status FAILED na tentativa de para-lo. Mas 
como mostrado no exemplo a seguir, o servięo sera iniciado com exito quando uma reinicializaęao for 
feita. 

# service cups stop 

Stopping cups: [ OK ] 

# 

# service cups restart 

Stopping cups: [FAILED] 

Starting cups: [ OK ] 

# 

# service cups status 

cupsd (pid 8236) is running... 



Recarregar um servięo e diferente de reiniciar um servięo. Quando voce recarrega (reload) um 
servięo, ele em si nao esta parado, somente os arquivos de configuraęao dele sao carregados 
novamente. O exemplo a seguir mostra como recarregar o daemon cups. 

* service cups scatus 

cupsd (pid 8236) is running... 

* 

# service cups reload 

Reloading cups: [ OK ] 

* 

* service cups 3~atus 

cupsd (pid 8236) is running... 

Se um servięo SysVinit for interrompido quando voce tentar recarrega-lo, voce tera um status 
FAILED. Isso e mostrado no exemplo a seguir: 

* service cups scatus 
cupsd is sropped 

* 

# service cups reload 

Reloading cups: [FAILED] 

Parando e iniciando o daemon Upstart init 

O comando principal para parar e iniciar servięos Upstart init e o comando initctl.As 
opędes sao muito semelhantes ao comando service de SysVinit: 

■ Parando um servięo comUpstart init — No exemplo a seguir, o status do daemon cups e 

verificado e, entao, parado usando o comando initctl stop cups.service. 

# initctl status cups 

cups start/running, process 2390 

# 

# initctl stop cups 

cups stop/waiting 

# 

# initctl status cups 

cups stop/waiting 

■ Iniciando um servięo com Upstart init — No exemplo a seguir, o daemon cups e parado usando 

o comando cups . service. 

# initctl start cups 

cups start/running, process 2408 

# 

# initctl status cups 

cups start/running, process 2408 

■ Reiniciando um servięo com Upstart init — Reiniciar um servięo com Upstart init vai 

parar e, entao, iniciar o servięo. Mas o arquivo de configuraęao nao sera recarregado. 

# initctl restart cups 



cups start/running, process 2490 
# 

# initctl status cups 

cups start/running, process 2490 

# 


■ Recarregar um servięo com Upstart init — Atualizar nao ira parar e iniciar o servięo. Isso só 
carrega o arquivo de configuraęao novamente. Essa e a opęao a usar quando voce tiver feito 
alteraęóes no arquivo de configuraęao. O exemplo abaixo ilustra como recarregar o daemon 
cups com initctl. Notę que o ID do processo (PID) ainda e 2 4 90, que e o mesmo que era 
no exemplo para reiniciar o daemon cups porque o processo nao foi parado e iniciado no 
processo de recarregamento. 

#initctl reload cups 

# 

# initctl status cups 

cups start/running, process 2490 


ota 

ice precisa de privilegios de root para parar e iniciar os servięos, mas nao precisa para verificar o status de um 
rvięo. 


Parando e iniciando o daemon systemd 

Para o daemon systemd, o comando systemctl funcionara para parar, iniciar, recarregar e 
reiniciar. As opęóes para o comando systemctrl devemparecer familiares. 

Parando um servięo com systemd 

No exemplo a seguir, o status do daemon cups e verificado e, entao, parado usando o comando 

systemctl stop cups.service: 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: active (running) sińce Mon, 30 Apr 2015 12:36:3... 
Main PID: 1315 (cupsd) 

CGroup: name=systemd:/system/cups.service 
1315 /usr/sbin/cupsd -f 

# 

# systemctl stop cups.service 

# 

# systemctl status cups.service 

cups.service - CUPS Printing Service 






Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: inactive (dead) sińce Tue, 01 May 2015 04:43:4... 
Process: 1315 ExecStart=/usr/sbin/cupsd -f 
(code=exited, status=0/SUCCESS) 

CGroup: name=systemd:/system/cups.service 

Observe que quando o estado e obtido, depois de parar o daemon cups, o servięo esta inactive 
(dead), mas ainda considerado enabled. Isso significa que o daemon cups ainda sera iniciado 
após a inicializaęao do servidor. 

Iniciando um servięo com systemd 

Iniciar o daemon cups e tao facil quanto para-lo. O exemplo a seguir demonstra essa facilidade. 

# systemctl start cups.service 

# 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: active (running) sińce Tue, 01 May 2015 04:43:5... 

Main PID: 17003 (cupsd) 

CGroup: name=systemd:/system/cups.service 
17003 /usr/sbin/cupsd -f 

Depois que o daemon cups e iniciado, usar systemctl com a opęao de status mostra que o servięo 
esta active (running). Alemdisso, seunumero de ID (PID) de processo, 17 0 03, e mostrado. 

Reiniciando um servięo com systemd 

Reiniciar um servięo significa que um servięo foi parado e depois reiniciado. Se o servięo nao estiver 
atualmente em execuęao, reinicia-lo simplesmente inicia o servięo. 

# systemctl restart cups.service 

# 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: active (running) sińce Tue, 01 May 2015 04:45:2... 

Main PID: 17015 (cupsd) 

CGroup: name=systemd:/system/cups.service 
17015 /usr/sbin/cupsd -f 

\bce tambempode executar urna reinicializaęao condicional de umservięo usando systemctl. Um 
reinicio condicional apenas reinicia um servięo se ele estiver sendo executado. Qualquer servięo em 
um estado inativo nao sera iniciado. 



# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: inactive (dead) sińce Tue, 01 May 2015 06:03:32... 
Process: 17108 ExecStart=/usr/sbin/cupsd -f 
(code=exited, status=0/SUCCESS) 

CGroup: name=systemd:/system/cups.service 

# 

# systemctl condrestart cups.service 

# 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 
Active: inactive (dead) sińce Tue, 01 May 2015 06:03:32... 
Process: 17108 ExecStart=/usr/sbin/cupsd -f 
(code=exited, status=0/SUCCESS) 

CGroup: name=systemd:/system/cups.service 

Observe no exemplo que o daemon cups estava emumestado inativo. Quando o reinicio condicional 
foi emitido, nenhuma mensagemde erro foi gerada! O daemon cups nao foi iniciado porque reinicios 
condicionais afetarao os servięos ativos. Assim, e sempre uma boa pratica verificar o status de um 
servięo depois de parar, iniciar, condicionalmente reiniciar etc. 

Recarregando um servięo com system d 

Recarregar um servięo e diferente de reiniciar um servięo. Quando voce recarrega (reload) um 
servięo, o servięo em si nao esta parado. Somente os arquivos de configuraęao do servięo sao 
carregados novamente. 

# systemctl reload cups.service 

Failed to issue method cali: Job type reload is 

not applicable for unit cups.service. 

# 

# systemctl reload sshd.service 

# 

# systemctl status sshd.service 

sshd.service - OpenSSH server daemon 

Loaded: loaded (/lib/systemd/system/sshd.service; enabled) 

Active: active (running) sińce Mon, 30 Apr 2015 12:35:2... 

Process: 17009 ExecReload=/bin/kill -HUP $MAINPID 
(code=exited, status=0/SUCCESS) 

Main PID: 786 (sshd) 

CGroup: name=systemd:/system/sshd.service 
786 /usr/sbin/sshd -D 



Fazer um reload de umseryięo, emvez de um restart, impedira que quaisquer operaęóes de 
servięos pendentes sejamabortadas. O reload e um metodo melhor para umservidor ocupado Linux. 

Agora que voce sabe como parar e iniciar os servięos para fins de soluęao de problemas e para 
emergencias, voce pode aprender como habilitar e desabilitar servięos. 

Configurando seryięos persistentes _ 

\foce usa stop e start para necessidades imediatas, nao para servięos que precisamser persistentes. 
Um servięo persistente e aquele que e iniciado na inicializaęao do servidor. Em geral, seryięos que 
precisam ser definidos como persistentes sao novos seryięos que o seryidor Linux oferece. 

Configurando servięos persistentes 
do daemon SysVinit classico 

Umdos recursos interessantes do daemon SysVinit classico e que tornar persistente umdeterminado 
seryięo ouremover sua persistencia e muito facil de fazer. Considere os seguintes exemplos: 

# chkconfig —list cups 

cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off 

Nesse seryidor Linux, o daemon cups nao esta iniciado emnenhum runlevel, como mostrado como 
comando chkconfig. \bce tambempode yerificar se ha qualquer yinculo simbólico start (S) 
configurado emcada umdos sete diretórios de runlevel, /etc/rc . d/rc? . d. Lembre-se de que 
SysVinit mantemyinculos simbólicos aqui para iniciar e parar varios seryięos emcertos niveis de 
execuęao. Cada diretório representa um runlevel especifico, por exemplo, rc5 . d e para runlevel 
5. Obserye que apenas os arquivos que comeęam com um K sao listados e, por isso, ha yinculos para 
eliminar o daemon cups. Nenhume listado com S, o que e consistente com chkconfig no sentido de 
que o daemon cups nao comeęa emqualquer runlevel nesse seryidor. 

# ls /etc/rc.d/rc?.d/*cups 

/etc/rc.d/rcO.d/KI 0cups 
/etc/rc.d/rcl.d/KI 0cups 
/etc/rc.d/rc2.d/KI 0cups 
/etc/rc.d/rc6.d/KI 0cups 

Para tornar persistente um seryięo emum runlevel especifico, o comando chkconfig e usado 
noyamente. Emvez da opęao --list, a opęao --level e utilizada, como mostra o seguinte código: 


/etc/rc.d/rc3.d/KI 0cups 
/etc/rc.d/rc4.d/KI 0cups 
/etc/rc.d/rc5.d/KI 0cups 




# chkconfig —Xevel 3 cups on 

* 

# chkconfig —list cups 

cups 0:off l:off 2:off 3:on 4:off 5:off 6:off 

4 

4 ls /etc/rc.d/rc3.d/S*cups 
/etc/rc.d/rc3.d/S56cups 


A persistencia do servięo em runlevel 3 e verificada tanto usando o comando chkconfig -- 
list como procurando no diretório rc3 . d todos os arquivos que comeęamcoma letra S. 

Para tornar persistente um servięo emmais de um runlevel, voce pode fazer o seguinte: 

# chkconfig --level 2345 cups on 

# 

# chkconfig --list cups 

cups 0:off l:off 2:on 3:on 4:on 5:on 6:off 

# 

# ls /etc/rc.d/rc?.d/S*cups 

/etc/rc.d/rc2.d/S56cups /etc/rc.d/rc4.d/S5ócups 
/etc/rc.d/rc3.d/SSćcups /erc/rc.d/rc5.d/S56cups 


Desativar umservięo e tao facil quanto habilitar umcom SysVinit. \bce só precisa mudar o on no 
comando chkconfig para off . O exemplo a seguir demonstra o uso do comando chkconfig para 
desativar o servięo cups no runlevel 5. 

4 chkconfig —level 5 cups off 
4 

4 chkconfig —list cups 

cups 0:off l:off 2:on 3:on 4:on 5:off 6:off 

4 

4 ls /etc/rc.d/rc5.d/S*cups 

ls: cannot access /etc/rc.d/rc5.d/S*cups: Ko such file cr directory 

Como esperado, nao ha agora nenhuma yinculaęao simbólica comeęando com a letra S para o daemon 
cups no diretório /etc/rc . d/rc5 . d. 

Configurando servięos persistentes do daemon Upstart init 

O daemon Upstart init emite o sinal de inicializaęao que aciona os trabalhos de servięo para 
iniciar. Na inicializaęao do servidor, varios trabalhos podem emitir sinais por si próprios. Esses sinais 
emitidos, entao, fazemoutros trabalhos iniciarem Assim, a chave para tornar persistente umservięo e 
assegurar que o arquivo de definięao do servięo seja acionado por umdos sinais emitidos quando o 
servidor e inicializado. 

Lembre-se de que os arquivos de definięao de trabalho do daemon Upstart init estao localizados 
em/etc/init. Considere o seguinte arquivo de definięao de trabalho para o daemon ssh: 

# cat /etc/init/ssh.conf 

# ssh - OpenBSD Secure Shell server 

# 

# The OpenSSH server provides secure shell access to the system, 
description "OpenSSH server" 

start on filesystem or runlevel [2345] 



stop on runlevel [12345] 
respawn 


Para determinar qual ou quais eventos acionaramum servięo, procure start on no arquivo de 
configuraęao. O daemon ssh e acionado por varios possiveis eventos emitidos, file system, 
runlevel 2, runlevel 3, runlevel 4ourunlevel 5. Basicamente, o daemon ssh inicia 
na inicializaęao do servidor e e configurado como persistente. Asintaxe para os eventos de runlevel, 
runlevel [ 2 3 4 5 ], e utilizada em muitos dos arquivos de trabalho e indica que o nome “runlevel” 
pode acabar em 2, 3, 4 ou 5. 

Para tornar um trabalho persistente (iniciar na inicializaęao do sistema), voce tera de modificar a linha 
start on em seu arquivo de configuraęao, de modo que ele inicie emdeterminados eventos emitidos 
na inicializaęao do servidor. Para desativar um trabalho na inicializaęao, basta colocar um caractere de 
comentario (#) no inicio da linha start on. Veja a discussao sobre Upstart na seęao “Adicionando 
servięos novos ou personalizados” para obter urna explicaęao mais aprofundada desses arquivos de 
configuraęao. 

Configurando servięos persistentes de systemd init 

Para o daemon systemd, novamente o comando systemctl e usado. Comele, voce pode desativar e 
ativar servięos no servidor Linux. 

Ativando um servięo com systemd 

Usar a opęao enable no comando systemctl definira para que umservięo inicie sempre na 
inicializaęao (ser persistente). Eis exatamente como fazer isso: 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; disabled) 

Active: inactive (dead) sińce Tue, 01 May 2015 06:42:38 ... 

Main PID: 17172 (code=exited, status=0/SUCCESS) 

CGroup: name=systemd:/system/cups.service 

# 

# systemctl enable cups.service 

ln -s '/lib/systemd/system/cups.service' 

'/etc/systemd/system/printer.target.wants/cups.service 

ln -s '/lib/systemd/system/cups.socket' 

'/etc/systemd/system/sockets.target.wants/cups.socket' 

ln -s '/lib/systemd/system/cups.path' ' 

/etc/systemd/system/multi-user.target.wants/cups.path' 



# 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; enabled) 

Active: inactive (dead) sińce Tue, 01 May 2015 06:42:38... 

Main PID: 17172 (code=exited, status=0/SUCCESS) 

CGroup: name=systemd:/system/cups.service 

Observe que o status de cups . service muda de disabled para enabled depois de usar a opęao 
enable em systemctl. Alemdisso, observe que a opęao enable simplesmente cria alguns 
yinculos simbólicos. Abce pode ser tentado a criar esses yinculos por conta própria, mas o metodo 
preferido e utilizar o comando systemctl para conseguir isso. 

Desativando (removendo) um servięo com systemd 

Abce pode usar a opęao disable no comando systemctl para impedir que umseryięo inicie na 
inicializaęao do sistema. Mas isso nao para imediatamente o seryięo. Abce precisa usar a opęao stop 
discutida na seęao “Parando um seryięo com systemd”. O exemplo a seguir mostra como desatiyar 
(disable) umseryięo atualmente atiyado (enabled). 

# systemctl disable cups.service 

rm '/etc/systemd/system/printer.target.wants/cups.service' 

rm '/etc/systemd/system/sockets.target.wants/cups.socket' 

rm '/etc/systemd/system/multi-user.target.wants/cups.path' 

# 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; disabled) 

Active: active (running) sińce Tue, 01 May 2015 06:06:41... 

Main PID: 17172 (cupsd) 

CGroup: name=systemd:/system/cups.service 
17172 /usr/sbin/cupsd -f 

A opęao disable simplesmente elimina alguns arquivos por meio do metodo preferido do comando 
systemctl. Repare tambemno exemplo anterior que, embora o seryięo cups agora esteja desativado, 
o daemon cups ainda esta active (running). 

A systemd init tern alguns seryięos que nao podemser desatiyados. Esses seryięos sao static. 
Considere o seguinte seryięo, dbus . service: 

# systemctl status dbus.service 

dbus.service - D-Bus System Message Bus 

Loaded: loaded (/lib/systemd/system/dbus.service; static) 

Active: active (running) sińce Mon, 30 Apr 2015 12:35:... 

Main PID: 707 (dbus-daemon) 



# 

# systemctl disable dbus.service 

# 

# systemctl status dbus.service 

dbus.service - D-Bus System Message Bus 
Loaded: loaded (/lib/systemd/system/dbus.service; static) 
Active: active (running) sińce Mon, 30 Apr 2015 12:35:... 
Main PID: 707 (dbus-daemon) 


Quando o comando systemctl disable e emitido emdbus . service, ele e simplesmente 
ignorado. Lembre-se de que static significa “estaticamente habilitado” e isso quer dizer que o servięo 
e ativado por padrao e nao pode ser desatiyado, nem por root. Quaisquer servięos que nao devem ser 
ativados em seu servidor Linux sao configurados como static. 

Agora que voce entende como ativar (ou desativar) servięos individuais para serem persistentes, voce 
precisa olhar para os grupos de servięos como um todo. A próxima seęao aborda como iniciar grupos de 
seryięos na inicializaęao do sistema. 

Configurando um runlevel ou uma target unit padrao 

Enquanto um seryięo persistente e aquele que e iniciado na inicializaęao do seryidor, um runlevel ou 
uma target unit (padrao) persistente e um grupo de seryięos que sao iniciados na inicializaęao do 
sistema. Os dois daemons classicos, SysVinit e Upstart, definemesses grupos de seryięos como 

runlevels, enquanto systemd chama-os de target units. 


Configurando o nivel de execuęao padrao do SysVdaemon init 
classico 

\bce configura o runlevel persistente para um seryidor Linuxusando o daemon SysVinit no 
arquivo /etc/inittab. Uma parte desse arquivo e mostrada aqui: 

# cat /etc/inittab 
t 

ł inittab This file descrzbes how the INI” process should 

# sec up the system in a certain run-level. 

id:5:initdefault: 

$ System initialization. 

si::sysinit:/etc/rc.d/rc.sysinit 


Alinha emnegrito no exemplo mostra que o runlevel padrao atual e o runlevel 5. Para mudar 
isso, basta editar o arquivo /etc/inittab usando seueditor favorito e trocar o 5 por umdos 
seguintes niyeis de execuęao: 2, 3 ou 4. Nao use os nlveis de execuęao 0 ou 6 nesse arquivo! Isso faria 




o seryidor ficar suspenso ou reiniciar quando ligado. 


Configurando o mvel de execuęao padrao do daemon Upstart init 

Algumas distribuiędes ainda usamo arquivo /etc/inittab para definir o runlevel padrao, 
enquanto outras usamo arquivo /etc/init/rc-sys init. conf. 

O daemon Upstart init do Fedora e do RHELainda usamo arquivo /etc/inittab. Portanto, 
basta alterar o runlevel padrao como voce faria emumsistema SysVinit. 

O daemon Upstart init do Ubuntuusa o arquivo /etc/init/rc-sysinit. conf para definir 
o runlevel padrao, urna parte do qual e mostrada no código que se segue. Alinha de código a alterar e 
env DEFAULT_RUNLEVEL=. Basta editar o arquivo e mudar esse numero para o runlevel que 
voce deseja. Mas lembre-se de que o runlevel 2 do Ubuntu e equivalente aos niveis de execuęao 3, 

4 e 5. 

$ cat /etc/init/rc-sysinit.conf 

# rc-sysinit - System V initialisation compatibility 

# Default runlevel, this may be overriden on the kernel command- 
line 

# or by faking an old /etc/inittab entry 

env DEFAULT_RUNLEVEL=2 

Configurando a target unit padrao de systemd init 

systemd init usa o termo “target units” para os grupos de seryięos a sereminiciados. A 
seguir sao apresentadas as varias target units que voce pode configurar para serempersistentes e 
suas target units equivalentes compativeis, especificas do nivel de execuęao. 

■ multi-user.target= 

■ runlevel2.target 

■ runlevel3.target 

■ runlevel4.target 

■ runlevel5.target = graphical.target 

A target unit persistente e configurada via umyinculo simbólico para o arquivo 
default. target. Considere o seguinte: 

# ls -1 /etc/systemd/system/default.target 

lrwxrwxrwx. 1 root root 36 Mar 13 17:27 
/etc/systemd/system/default.target -> 

/lib/systemd/system/runleve!5.target 



# 

# ls -1 /lib/systemd/system/runlevel5.target 

lrwxrwxrwx. 1 root root 16 Mar 27 15:39 
/lib/systemd/system/runlevel5.target -> 
graphical.target 

O exemplo mostra que a target unit persistente atual no servidor e runlevel5 . target porque 
def ault. target e um yinculo simbólico para o arquivo de unidade runlevel5 . target. Mas 
observe que runlevel5 . target tambeme um yinculo simbólico que aponta para 
graphical. target. Assim, a target unit persistente atual desse servidor e 
graphical.target. 

Para configurar uma target unit diferente para ser persistente, voce só precisa mudar o yinculo 
simbólico para def ault. target. Para ser coerente, atenha-se as runlevel target units se 
elas forem utilizadas em seu servidor. 

O exemplo a seguir muda a target unit persistente do servidor de graphical. target para 
multi-user . target mudando o yinculo simbólico def ault. target de 
runlevel3 . target para runlevel5 . target. Aopęao f e utilizada no comando ls -s para 
foręar que qualquer yinculo simbólico atual seja quebrado e que o novo yinculo simbólico designado 
seja imposto. 

# ls -1 /lib/systemd/system/runlevel3.target 

lrwxrwxrwx. 1 root root 17 Mar 27 15:39 
/lib/systemd/system/runlevel3.target -> 
multi-user.target 

# 

# ln -sf /lib/systemd/system/runlevel3.target 
/etc/systemd/system/default.target 

# 

# ls -1 /etc/systemd/system/default.target 

lrwxrwxrwx. 1 root root 36 May 1 10:06 
/etc/systemd/system/default.target -> 

/lib/systemd/system/runlevel3.target 

Quando o servidor for reinicializado, o multi-user . target sera a target unit persistente. 
Quaisquer seryięos na unidade multi-user . target serao iniciados (atiyados) nesse momento. 


Adicionando seryięos novos ou personalizados _ 

Ocasionalmente, yoce tern de adicionar um novo seryięo ao seu seryidor Linux. Alem disso, yoce pode 
precisar personalizar um determinado seryięo. Quando essas necessidades surgem, voce deve seguir 
passos especificos para o daemon init de seu seryidor Linux assumir o gerenciamento do seryięo ou 
reconhecer a personalizaęao do mesmo. 




Adicionando novos servięos ao SysVdaemon init classico 

Ao adicionar umnovo servięo ou personalizar umsemdor SysVinit Linux, voce precisa completar 
tres etapas, a fimde ter o servięo gerenciado pelo SysVinit. 

1 - Crie umarquivo de script de servięo novo ou personalizado. 

2 - Mova o script de servięo novo ou personalizado para o local adeąuado para ser 
gerenciado por SysVinit. 

3 - Adicione o servięo a umou mais runlevel(s) especifico(s). 

Passo 1: Crie um arquivo de script de servięo novo ou personalizado 

Se voce estiver personalizando um script de servięo, basta fazer urna cópia do arquivo da unidade 
original a partir do arquivo /etc/rc . d/init. d e adicionar as personalizaęóes desejadas. 

Se estiver criando um novo roteiro, voce precisa ter certeza de lidar com todas as opęóes que voce quer 
que o comando service aceite para seu servięo, como start, stop, restart etc. 

Para um novo script, especialmente se voce nunca criou um script de servięo antes, seria prudente fazer 
urna cópia de um script de servięo atual a partir do arquivo /etc/rc.d/init. de modifica-lo para 
atender as necessidades de seu novo servięo. Considere o seguinte exemplo parciał do script do servięo 

cupsd: 

# cat /etc/rc.d/init.d/cups 

#!/bin/sh 

# 


start () { 

echo -n $"Starting $prog: " 

# start daemon 
daemon $DAEMON 
RETVAL=$ ? 
echo 

[ $RETVAL = 0 ] && touch /var/lock/subsys/cups 

return $RETVAL 

} 

Stop () { 

# stop daemon 

echo -n $"Stopping $prog: " 
killproc $DAEMON 
RETVAL=$ ? 
echo 

[ $RETVAL = 0 ] && rm -f /var/lock/subsys/cups 



} 

restart (){ 

stop 

start 

} 

case $1 in 


O script de servięo do daemon cups comeęa criando funęóes para cada urna das opęóes start, stop 
e restart. Se voce se sentir desconfortavel coma codificaęao de script de shell, consulte o Capitulo 
7, “Escrevendo Scripts de shell simples” ou consulte urna obra de referenda, como Linux Command Linę 
and Shell Scripting Bibie (Wiley, 2011), para melhorar suas habilidades. 

Passo 2: Mova o script de servięo 

Urna vez que voce tenha modificado ou criado e testado o arquivo de script de seu servięo, voce pode 
move-lo para o local adequado, /etc/rc.d/init.d: 

# cp My_New_Service /etc/rc.d/init.d 

# 

# ls /etc/rc.d/init.d/My_New_Service 

/etc/rc.d/init.d/My_New_Service 

Passo 3: Adicione o servięo a runlevels 

Este passo finał e necessario apenas se voce quiser que o servięo seja persistente emcertos niveis de 
execuęao. \bce deve criar umvinculo simbólico para cada runlevel emque deseja que o servięo seja 
persistente. Abaixo, estao as aęóes necessarias para realizar esta etapa finał. 

1 - Verifique cada diretório runlevel emąue voce ąuer que o servięo inicie e determine 
qual deve ser o numero S apropriado para o seu servięo. Por exemplo, o 
My_New_Service deve ser iniciado no runlevel 3 e depois de todos os servięos 
de runlevel 3 serem iniciados. Portanto, SI00 e um numero S apropriado para o 
nome de arquivo simbólico, como mostrado aqui: 

# ls /etc/rc.d/rc3.d/S* 

/etc/rc.d/rc3.d/SO Omicrocode_ctl 
/etc/rc.d/rc3.d/S04readahead_early 
/etc/rc.d/rc3.d/S05kudzu 

/etc/rc.d/rc3.d/S98haldaemon 
/etc/rc.d/rc3.d/S99firstboot 
/etc/rc.d/rc3.d/S991ocal 
/etc/rc.d/rc3.d/S99smartd 

# ln -s /etc/rc.d/init.d/My_New_Service 



/etc/rc.d/rc3.d/SlO OMy_New_Service 
# 

# ls -1 /etc/rc.d/rc3.d/S100My_New_Service 

lrwxrwxrwx 1 root root 31 2015-05-07 11:01 
/etc/rc.d/rc3.d/Sl0OMy_New_Service -> 

/etc/rc.d/init.d/My_New_Service 

2 - Depois de ter criado o(s) vmculo(s) simbólico(s), teste se seu servięo novo ou 
modificado funcionara como esperado antes de reinicializar o servidor. 

# service My_New_Service start 

Starting My_New_Service: [ OK ] 

# 

# service My_New_Service stop 

Stopping My_New_Service: [ OK ] 

Depois que tudo estiver no lugar, o servięo novo ou modificado vai iniciar emcada runlevel que 
voce selecionou em seu sistema. Alem disso, voce pode inicia-lo ou para-lo manualmente utilizando o 
comando service. 

Acrescentando novos servięos ao daemon Upstart init 

\bce precisa completar apenas umpasso para adicionar umnovo servięo ou personalizar um servięo ja 
existente como daemon Upstart init. Basta adicionar umnovo arquivo de configuraęao de trabalho 
oumodificar umexistente. Mas esse passo pode ser bastante complicado. 

Todos os arquivos de configuraęao de trabalho do servięo Upstart estao localizados no diretório 
/etc/init. Esses sao arquivos de texto simples que usamuma sintaxe especial para instruir o daemon 
Upstart init sobre como lidar comumdeterminado servięo. O seguinte exemplo de umarquivo de 
configuraęao tern urna sintaxe muito simples: 

# cat ck-log-system-restart.conf 

# Upstart event 

# ck-log-system-restart - write system restart to log 

# 

start on runlevel 6 
task 

exec /usr/sbin/ck-log-system-restart 

Qualquer sinal de jogo da velha (#) indica urna linha de comentario e e ignorado por Upstart. As 
outras linhas sao chamadas de “estrofes” ( stanzas ), ou sub-rotinas, e tern sintaxe especial para controlar 
trabalhos Upstart. As sub-rotinas do arquivo acima sao as seguintes: 

■ start on — Essa sub-rotina define o evento emitido que iniciara o servięo ou tarefa. Nesse 

caso emparticular, quando o evento runlevel 6 e emitido, o ck-log-system-restart 
inicia. 

■ task — A sub-rotina aqui define que esse trabalho em particular e um trabalho de task em 



oposięao a umde service. 


■ exec — Essa sub-rotina define o programa que sera executado para iniciar a tarefa. Em vez da 

sub-rotina exec, voce pode inserir um script de linha de comando real para executar aqui usando 
a sub-rotina do script antes do código atual e end script depois. 

Um arquivo de configuraęao de trabalho um pouco mais complicado e mostrado a seguir — para o 
daemon cron. Ha algumas sub-rotinas adicionais que nao estavamno exemplo anterior. Observe que a 
sub-rotina task esta faltando no arquivo. Isso indica que esse trabalho espedfico e um trabalho de 
service, emvez de um trabalho de task. 

# cat cron.conf 

# cron - regular background program processing daemon 

# 

# cron is a standard UNIX program that runs user-specified 

# programs at periodic scheduled times 

description "regular background program processing daemon" 

start on runlevel [2345] 
stop on runlevel [12345] 

expect fork 
respawn 
exec cron 

As sub-rotinas adicionais nesse exemplo sao as seguintes: 

■ description — Essa sub-rotina e opcional e simplesmente descreve o servięo. 

■ start on — Apesar de a parte start on dessa sub-rotina ter sido coberta anteriormente, a 

sintaxe [2345] nao foi. Usar colchetes significa que a entrada e valida para qualquer desses 
numeros. Desse modo, o servięo sera iniciado no runlevel 2, 3, 4 ou 5. 

■ stop on — A sub-rotina aqui define quais eventos emitidos o servięo vai parar. O [12 34 5] 

nesta sub-rotina significa nao runlevel 2 ou 3 ou 4 ou 5. Emoutras palavras, ele só vai 
parar runlevel 0, runlevel 1 ou runlevel 6. 

■ expect — Essa sub-rotina particular e bastante importante e um pouco complicada. A sintaxe 

expect fork permitira que Upstart monitore esse daemon e qualquer umdos seus 
processos filhos (bifurcaęóes). 

■ respawn — A sub-rotina aqui diz para Upstart reiniciar esse servięo caso venha a ser 

terminado atrayes de ummeio fora do seu stop on normal. 




testaros arquivos de configuraęao de trabalho novos ou modificados, voce pode configurar a sub-rotina start 






:omo urn evento nao padrao. Em outras palavras, voce pode criarseu próprio nome de evento. Porexemplo, use o 
e do evento MyTest. Para testaro novo arquivo de configuraęao, voce digita initctl emit MyTest na 
de comando. Se o arquivo de configuraęao funcionar corretamente, modifique a sub-rotina start on para o 
to Upstart correto. 


Cada arquivo de configuraęao de trabalho deve seguir pelo menos tres regras. O arquivo de configuraęao 
de trabalho deve: 

■ Nao estar vazio 

■ Ser sintaticamente correto 

■ Conter pelo menos urna sub-rotina valida 

Apesar de existirem apenas tres regras, criar ou modificar um arquivo de configuraęao de trabalho de 
servięo corretamente pode ser urna tarefa bastante dificil. Veja 

http://upstart.ubuntu.com/getting-started.html ou 

http : / /upstart. ubuntu . com/cookbook para ajuda sobre a sintaxe necessaria para esses 
arquivos. Alemdisso, voce pode descobrir mais sobre os eventos que o daemon Ubuntu init emite 
digitando man upstart-events na linha de comando. 

Acrescentando novos servięos a systemd init 

Ao adicionar um servięo novo ou personalizado a um servidor systemd Linux, voce tern de completar 
tres etapas, a firn de ter o servięo gerenciado por systemd: 

1 - Criar um arquivo de configuraęao de unidade de servięo novo ou personalizado para o 
servięo novo ou personalizado. 

2 - Mover o arquivo de configuraęao de unidade de servięo novo ou personalizado para o 
local adequado para o gerenciamento por systemd. 

3 - Adicionar o servięo ao Wants de urna target unit especifica se quiser que o 
servięo novo ou personalizado inicie automaticamente comoutros servięos. 

Passo 1: Criar um arquivo de configuraęao de unidade de servięo novo ou personalizado 

Se voce estiver personalizando um arquivo de configuraęao de unidade de servięo, basta fazer urna cópia 
do arquivo de unidade original a partir de /lib/systemd/system e adicionar as personalizaęóes 
desejadas. 

Para novos arquivos, obviamente, voce estara criando umarquivo de configuraęao de service unit 
a partir do zero. Considere o seguinte modelo de arquivo basico de service unit. No minimo, voce 
precisa definir as opęóes Description e ExecStart para umarquivo de configuraęao de 

service unit. 

# cat My_New_Service.service 






[Unit] 

Description=My New Service 

[Service] 

ExecStart=/usr/bin/My_New_Service 

Para obter ajuda adicional sobre a personalizaęao ou a criaęao de umnovo arquivo de configuraęao de 
unidade e as varias opęóes necessarias, voce pode usar as paginas man. Na linha de comando, digite man 
systemd. service para saber mais sobre as diversas opęóes do arquivo de service unit. 

Passo 2: Mover o arquivo de configuraęao de unidade de servięo 

Antes de mover o arquivo de configuraęao de unidade de servięo novo ou personalizado, voce precisa 
estar ciente de que ha dois possiveis locais para armazenar arquivos de configuraęao de unidade de 
servięo. O que voce escolher vai determinar se ou nao as personalizaędes tern efeito e se elas 
permanecem persistentes depois de atualizaęóes de software. 

\foce pode colocar seu arquivo de configuraęao de unidade de servięo de sistema em um dos seguintes 
locais: 


■ /etc/systemd/system 

■ Essa localizaęao e usada para armazenar arquivos de configuraęao de unidade de servięo 

personalizados locais. 

■ Arquivos nessa localizaęao nao sao substituidos por instalaęóes ou upgrades de software. 

■ Arquivos aqui sao usados pelo sistema, mesmo se houver um arquivo com o mesmo nome no 

diretório /lib/systemd/system. 

■ /lib/systemd/system 

■ Essa localizaęao e usada para armazenar arquivos de configuraęao de unidade de servięo. 

■ Arquivos nessa localizaęao sao substituidos por instalaęóes e atualizaęóes de software. 

■ Arquivos aqui sao usados pelo sistema somente se nao houver um arquivo com o mesmo nome 

no diretório /etc/systemd/system. 

Assim, o melhor lugar para armazenar seu arquivo de configuraęao de unidade de servięo novo ou 
personalizado e em /etc/systemd/system. 


la 

ido voce cria um servięo novo ou personalizado, para que a alteraęao tenha efeito sem uma reinicializaęao do 
dor, e necessario emitir um comando especial. Na linha de comando, digite systemctl daemon- 
oad. 


Passo 3: Adicionar o servięo ao diretório Wants 

Este ultimo passo e opcional. Ele precisa ser feito somente se voce quiser que seu novo seryięo inicie 






comuma systemd target unit especifica. Para umservięo ser ativado (iniciado) por urna 
target unit especifica, ele deve estar no diretório Wants da target unit. 

Primeiro, adicione a linha WantedBy= alvo . dese jado ao finał de seu arquivo de configuraęao de 
unidade de servięo. O exemplo a seguir mostra que a target unit desejada para esse novo servięo e 

multi-user.target. 

# cat /etc/systemd/system/My_New_Service.service 

[Unit] 

Description=My New Fake Service 
[Service] 

ExecStart=/usr/bin/My_New_Service 
[Install] 

WantedBy=multi-user.target 


Para adicionar uma nova unidade de servięo a urna unidade alvo, voce precisa criar umvinculo 
simbólico. O exemplo a seguir mostra os arquivos localizados no diretório Wants da unidade 
multiuser . target. Anteriormente, na seęao “Entendendo systemd init”, o comando systemctl 
foi usado para listar Wants e esse ainda e o metodo preferido. Observe que, nesse diretório, os arquivos 
sao vinculos simbólicos que apontampara arquivos de configuraęao de service unit no diretório 
/lib/systemd/system. 


* ls /etc/systemd/system/multi-user.target.wants 


abrt-ccpp.service 
abrtd.3ervice 
abrt-oops.service 


abrt-vmcore.3ervice 
atd.service 
auditd.service 


cups.path 
f coe.service 
irąbalance.service 
lldpad.service 
mcelog.service 
radmonitor.service 


remote-fs.target 
rsy3log.service 
sendnail. ser\'ice 
sn-client.service 
sshd-keygen.service 
sshd.service 


ł 

* ls -1 /etc/systemd/system/multi-user.target.wants 

total 0 

lrwxrwxrwx. 1 root root 37 Nov 2 22:29 
abrt-ccpp.service -> 

/lib/systemd/system/abrt-ccpp.service 
lrwxrwxrwx. 1 root root 33 Nov 2 22:29 
abrtd.service -> 

/lib/systemd/system/abrtd.service 

lrwxrwxrwx. 1 root root 32 Apr 26 20:05 

sshd.service -> 

/lib/systemd/system/sshd.service 


O exemplo a seguir ilustra o processo de adicionar um arquivo de vinculo simbólico a 

My New_Service: 


# ln -s /etc/systemd/system/My_New_Service.service 

/etc/systemd/system/multi-user.target.wants/My_New_Service.service 

Umvinculo simbólico foi criado no diretório multi-user . target. wants. Agora, o novo servięo, 
My New Service, sera ativado (iniciado) quando a unidade multi-user . target for atiyada. 
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uiser mudar a systemd target unit de um servięo, voce tern de alterar o vmculo simbólico de modo 
ele aponte para a nova localizaęao do diretório alvo Wants. Use o comando ls -sf para foręar qualquer 
ilo simbólico atual a ser quebrado e o novo vfnculo simbólico designado ser imposto. 


Juntas, as tres etapas adicionarao seunovo servięo personalizado a umservidor Linux systemd. 
Lembre-se de que, neste ponto, umnovo servięo nao sera executado ate que o servidor seja 
reinicializado. Para iniciar o novo servięo antes de urna reinicializaęao, revise os comandos da seęao 
“Parando e iniciando servięos”. 


Resumo 


Amaneira como voce inicia e para servięos depende de como o daemon init e utilizado pelo seu 
servidor Linux. Antes de fazer qualquer gestao de seryięos, certifique-se de usar os exemplos neste 
capitulo para aj udar a determinar o daemon init do seu servidor Linux. 

Os conceitos de iniciar e parar servięos seguem outros conceitos de gerenciamento de seryięos, tais 
como tornar um servięo persistente, iniciar certos servięos na inicializaęao do seryidor, recarregar e 
reiniciar um servięo. Todos esses conceitos serao muito uteis quando voce aprender sobre como 
configurar e gerenciar um seryidor de impressao Linux no próximo capitulo. 


Bcercicios 


Consulte o materiał neste capitulo para completar as tarefas a seguir. Se voce empacar, soluęóes para as 
tarefas sao mostrados no Apendice B (embora no Linux costume haver varias maneiras de fazer urna 
tarefa). Tente resolver cada umdos exercicios antes de consultar as respostas. Essas tarefas sup5emque 
voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem 
funcionem em outros sistemas Linux). 

1 - Determine qual daemon init seu seryidor esta usando atualmente. 

2 - O daemon init esta usando sshd em seu seryidor Linux? 

3 - Determine o runlevel anterior e o atual de seu seryidor. 

4 - Como voce pode mudar o runlevel padrao oua target unit padrao em seu seryidor 
Linux? 

5 - Para cada daemon init, que comando(s) lista(m) os seryięos emexecuęao (ou ativos) em 
seu seryidor? 

6 - Listę os seryięos que estao sendo executados (ou estao ativos) em seu seryidor Linux. 

7 - Para cada daemon init, que comando(s) mostra(m) o status atual de um seryięo 








espedfico? 

8 - Exiba o status do daemon cups em seu servidor Linux. 

9 - Tente reiniciar o daemon cups em seu servidor Linux. 
10 Tente recarregar o daemon cups em seu servidor Linux. 



Configurando um servidor de impressao 


CAPITUJ|.g 


NESTE CAPITulo 

Entendendo impressao em Linux 
Configurando impressoras 
Usando comandos de impressao 
Gerenciando a impressao de documentos 
Compartilhando impressoras 

V oce pode configurar o sistema Linux para usar impressoras conectadas diretamente a ele (por meio 
de urna porta USB ou paralela) ou que estao disponiveis para impressao emrede. Da mesma 
maneira, qualquer impressora que voce configura em seu sistema local pode ser compartilhada com 
os usuarios em outros sistemas Linux, Windows ou Mac, abrindo a impressora como um servidor de 
impressao. 

\foce pode configurar urna impressora como urna impressora Linux nativa no Fedora, RHEL, Ubuntu e 
outros sistemas Linux com o Common UNIX Printing System (CUPS). Para configurar urna impressora 
para funcionar como um servidor de impressao no estilo do Microsoft Windows, voce pode usar o 
servięo Samba no Linux. 

Este capitulo concentra-se no CUPS. Em particular, ele mostra a interface grafica para o CUPS, chamada 
de janela Printer Configuration, que yemcomo Fedora, o Red Hat Enterprise Linux e outras distribuięóes 
Linux. Usando a janela Printer Configuration, voce tambempode configurar impressoras como servidores 
de impressao de modo que as pessoas possam imprimir em sua impressora a partir do computador delas. 

Se voce nao tiver um desktop ou quiser imprimir a partir de um script de shell, este capitulo mostra como 
usar comandos de impressao. A partir da linha de comando, comandos de impressao como lpr estao 
disponiyeis para fazer a impressao. Tambemha comandos para consultar (lpq), manipular (lpc) e 
remoyer filas de impressao (lprm). 


Sistema comum de impressao UNIX 


O CUPS se tornou o padrao para impressao a partir do Linux e outros sistemas operacionais tipo Unix. 




Ele foi projetado para atender as necessidades de hoje no que se refere a definięóes padronizadas e 
compartilhamento de impressoras em redes baseadas no Internet Protocol (como a maioria das redes de 
computadores e hoje). Quase todas as distribuięóes Linuxhoje yemcomo CUPS como seu servięo de 
impressao. Eis alguns dos recursos do servięo: 

■ IPP — O CUPS e baseado no Internet Printing Protocol (http : / /www. pwg. org/ ipp), um 

padrao que foi criado para simplificar a forma como as impressoras podem ser compartilhadas 
em redes IP. No modelo IPP, servidores de impressao e clientes que querem imprimir podem 
trocar informaęóes sobre o modelo e os recursos de urna impressora por meio do protocolo HTTP 
(isto e, o conteudo web). Umservidor tambempode transmitir a disponibilidade de urna 
impressora para um cliente de impressao poder facilmente encontrar urna lista de impressoras 
disponiveis localmente, sem configuraęao. 

■ Drivers — O CUPS tambem padronizou a maneira como os drivers de impressora sao criados. A 

ideia era ter um formato comum que poderia ser usado pelos fabricantes de impressoras de modo 
que um driver pudesse funcionar em todos os diferentes tipos de sistema UNIX. Dessa forma, o 
fabricante precisaria criar o driver apenas urna vez para funcionar em Linux, Mac OS X e urna 
variedade de derivados do UNIX. 

■ Classes de impressoras — \bce pode usar classes de impressoras para criar entradas de 

multiplos servidores de impressao que apontam para a mesma impressora ou urna entrada de 
seryidor de impressao que aponta para multiplas impressoras. No primeiro caso, cada urna das 
multiplas entradas pode permitir diferentes opęóes (tais como apontar para urna bandeja de papel 
especifica ou imprimir comcertos tamanhos de caractere oumargens). No segundo caso, voce 
pode ter umpool de impressoras para que a impressao seja distribuida. Nesse exemplo, urna 
impressora ayariada ou urna impressora que esta lidando com documentos muito grandes nao vai 
suspender todos os trabalhos de impressao. O CUPS tambem suporta classes implicitas, que sao 
classes de impressao que se formam pela associaęao de impressoras de rede identicas 
automaticamente. 

■ Procura de impressora — Com a procura de impressora, computadores clientes podem ver todas 

as impressoras CUPS em sua rede local com a procura atiyada. Como resultado, os clientes 
podem simplesmente selecionar as impressoras que desejamusar a partir dos nomes de 
impressora transmitidos na rede, sem a necessidade de saber de antemao como as impressoras 
sao nomeadas e onde elas estao conectadas. Voce pode desativar o recurso para evitar que outras 
pessoas na rede local vejam urna impressora. 

■ Comandos de impressao UNIX— Para se integrar ao Linux e outros ambientes UNIX, o CUPS 

oferece vers5es de comandos padrao para impressao e gerenciamento de impressoras que tern 
sido tradicionalmente oferecidas com sistemas UNIX. 

Emvez de usar a janela Printer Configuration, ha outras maneiras como voce tambempode configurar 
impressao CUPS: 

■ Configurando o CUPS a partir de um navegador — O projeto CUPS oferece urna interface 

baseada na web para adicionar e gerenciar impressoras. Como seryięo cupsd emexecuęao, 
digite localhost:631 a partir de umnayegador no computador que executa o seryięo CUPS para 



gerenciar impressao. (Consulte a seęao “Usando administraęao do CUPS baseada na web” mais 
adiante, neste capitulo.) 


■ Configurando o CUPS manualmente — Voce tambem pode configurar o CUPS manualmente (ou 
seja, editar os arquivos de configuraęao e iniciar o daemon cupsd a partir da linha de comando). 
Os arquivos de configuraęao para o CUPS estao contidos no diretório /etc/cups. Em 
particular, voce poderia estar interessado no arquivo cupsd. conf , que identifica permissóes, 
autenticaęóes e outras informaędes para o servidor de impressao, e printers . conf, que 
identifica os endereęos e as opęóes para impressoras configuradas. Use o arquivo 
classes . conf para definir classes de impressoras locais. 


ndo do Windows 

ce tambem pode imprimir no CUPS a partir de sistemas nao UNIX. Por exemplo, voce pode 
ar um driver de impressora PostScript para imprimir diretamente a partir do Windows XP em 
u servidor CUPS. Voce pode usar o CUPS, sem modificaęao, configurando o computador XP 
m um driver PostScript que usa 

tp : //printservername : 631/printers/targetPrinter como porta de impressao. 

ce tambem pode ser capaz de usar os drivers de impressora nativos do Windows para a 
pressora em vez do driver PostScript. Se o driver nativo do Windows nao funcionar como 
m de fabrica na fila de impressao do CUPS, voce pode criar urna Raw Print Queue sob o 
JPS e utiliza-la no lugar. A Raw Print Queue passara os dados do driver de impressao nativo 
Windows diretamente para a impressora. 


Para usar o CUPS, voce precisa ter instalado o pacote de cups no Fedora ou no RHEL. A maioria das 
distribuięóes Linux desktop incluem o CUPS durante a instalaęao inicial do sistema. Se ele nao for 
instalado em urna instalaęao do Fedora ou do RHEL, instale-o digitando o seguinte: 

# yum install cups 

Configurando impressoras 

Embora utilizar as ferramentas de administraęao de impressoras construidas especificamente para sua 
distribuięao seja geralmente melhor, muitos sistemas Linux simplesmente confiamnas ferramentas que 
vemcomo pacote de software do CUPS. 

Esta seęao explora como usar as ferramentas de administraęao baseada na web do CUPS que vem com 
cada distribuięao Linux e, entao, examina a ferramenta de configuraęao de impressora system- 
conf ig-printer, que yemcomos sistemas Fedora e o Red Hat Enterprise Linux, para permitir 






configurar impressoras. Emalguns casos, nenhuma configuraęao e necessaria, porque as impressoras 
conectadas podem ser automaticamente detectadas e configuradas. 


Adicionando uma impressora automaticamente 

Impressoras CUPS podem ser configuradas para transmitir automaticamente sua disponibilidade na rede 
para um sistema cliente poder detecta-las e usa-las sem configuraęao. Conecte uma impressora USB ao 
seu computador e ela pode ser automaticamente detectada e disponibilizada. Na verdade, se voce anexar 
uma impressora local no Fedora e o driver de impressao ainda nao estiver instalado, voce sera solicitado 
a instalar os pacotes de software necessarios para usar a impressora. 

Na primeira vez que voce tentar imprimir um documento ou ver sua ferramenta de configuraęao de 
impressora, as impressoras estarao la prontas para uso. Configuraęao adicional pode ser feita usando a 
ferramenta de administraęao baseada na web do CUPS ou a janela Printer Configuration. 

Usando a administraęao baseada na web do CUPS 

O CUPS oferece sua própria ferramenta administrativa baseada na web para adicionar, excluir e 
modificar configuraęóes de impressora em seu computador. O servięo de impressao do CUPS (usando o 
daemon cupsd) ouve na porta 631 para fornecer acesso a interface administrativa baseada na web do 
CUPS e compartilhar impressoras. 

Se o CUPS ja estiver em execuęao em seu computador, voce pode usar imediatamente a administraęao 
baseada na web do CUPS a partir de seu navegador. Para ver se o CUPS esta em execuęao e para 
comeęar a configurar as impressoras, abra o navegador web no computador local e digite o seguinte em 
sua caixa de localizaęao: http://localhost:631/. 

Um prompt pedindo um nome de login e uma senha validos pode aparecer quando voce solicitar funęóes 
que necessitam dele. Se esse for o caso, digite o nome de login e a senha do usuario root e clique em OK. 
Uma tela semelhante a mostrada na Figura 16.1 aparece. 
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PS fornece urna ferramenta de administraęao baseada na web. 


Por padrao, a administraęao baseada na web do CUPS esta disponivel apenas a partir do host local. Para 
acessar administraęao baseada na web do CUPS a partir de outro computador, na pagina principal do 
CUPS, selecione a guia Administration, marque a caixa de seleęao ao lado de Allow remote 
administration e selecione o botao Change Settings. Entao, a partir de umnavegador remoto, voce pode 
acessar a pagina de administraęao do CUPS indo para a porta 631 no servidor CUPS (por exemplo, 
http : / /host. example . com: 631). 

Quando urna impressora nao e detectada automaticamente, voce pode adiciona-la a partir da tela de 
administraęao, da seguinte maneira: 

1 - Cliąue no botao Add Printer. A tela Add New Printer aparece. 

2 - Selecione o dispositivo ao qual a impressora esta conectada. A impressora pode estar 
conectada localmente a urna porta paralela, SCSI, serial ou USB diretamente no computador. 
Alternativamente, voce pode selecionar um tipo de conexao de rede para impressoras Apple 
(AppSocket/HP JetDirect), Internet Printing Protocol (http ou ipp) ou urna impressora 
Windows (usando o Samba ou SMB). 

3 - Se for solicitado a fornecer mais informaęoes, talvez voce precise descrever a conexao com 
a impressora. Por exemplo, voce pode precisar inserir a taxa de transmissao e a paridade de urna 
porta serial ou voce pode ser solicitado a informar o endereęo de rede para urna impressora IPP 
ou Samba. 

4 - Digite umnome, localizaęao e descrięao para a impressora e selecione se voce deseja 
compartilha-la. Entao, cliąue em Continue. 

5 - Selecione o fabricante do driver de impressao. Se voce nao vir o fabricante de sua impressora 
na lista, escolha PostScript para urna impressora PostScript, ou HP para urna impressora PCL. 
Para o fabricante que voce escolher, voce sera capaz de selecionar um modelo especifico. 

6 - Configure opęoes. Se for solicitado a configurar opęóes para sua impressora, voce pode faze-lo 
selecionando Set Printer Options para continuar. 

7 - A impressora deve estar disponivel. Se a impressora for adicionada com sucesso, cliąue no 
nome dela para fazer a pagina da nova impressora aparecer. A partir da pagina da impressora, 
voce pode selecionar Maintenance ou Administration para imprimir urna pagina de teste ou 
modificar a configuraęao da impressora. 

Com a configuraęao basica da impressora feita, agora voce pode trabalhar ainda mais com suas 
impressoras. Eis alguns exemplos do que voce pode fazer: 

■ Listar trabalhos de impressao. Cliąue em Show Ali Jobs para ver ąuais trabalhos de impressao 
estao atualmente ativos a partir de ąualąuer das impressoras configuradas para esse servidor. 
Cliąue em Show Completed Jobs para ver informaęóes sobre os trabalhos que ja estao impressos. 




Criar urna classe de impressora. Clique na guia Administration e escolha Add Class e identifiąue 
umnome, descrięao e localizaęao para urna classe de impressoras. Na lista Printers (Members) 
configurada em seu servidor, selecione as que vao para essa classe. 

Cancelar um trabalho de impressao. Se voce imprimir umtrabalho de 100 paginas por engano, 
ou se a impressora estiver imprimindo lixo, o recurso Cancel pode ser muito util. Na guia 
Administration, clique em Manage Jobs, entao, clique em Show Active Jobs para ver os trabalhos 
de impressao que estao na fila para a impressora. Selecione o botao Cancel Job ao lado do 
trabalho de impressao que voce deseja cancelar. 

Visualizar impressoras. \bce pode clicar na guia Printers a partir do topo de qualquer urna das 
paginas de administraęao baseadas na web do CUPS para exibir as impressoras que voce 
configurou. Para cada impressora que aparece, voce pode selecionar tarefas de manutenęao 
(Maintenance) ou tarefas administrativas (Administrative). Em Maintenance, clique emPause 
Printer (para fazer a impressora parar de imprimir, mas ainda aceitar trabalhos de impressao na 
fila), Reject Jobs (para nao aceitar mais nenhum trabalho de impressao naquele momento) ou 
Print Test Page (para imprimir urna pagina). A Figura 16.2 mostra as informaęóes na guia Printers. 
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pode fazer as tarefas de administraęao na guia Printers. 


Usando a janela Printer Configuration 

Se estiver usando o Fedora, o RHEL ou outros sistemas baseados no Red Hat, voce pode usar a janela 
Printer Configuration para configurar as impressoras. Na verdade, recomendo que voce use-a no lugar da 
administraęao web do CUPS, pois os arquivos de configuraęao de impressora resultantes sao adaptados 
para funcionar coma maneira como o servięo CUPS e iniciado nesses sistemas. 

Para instalar urna impressora a partir de seu desktop GNOMĘ, inicie a janela Printer Configuration, 
selecionando System => Administration => Printing, ou como usuario root digitando system-config-printer. 
Essa ferramenta permite adicionar e excluir impressoras e editar as propriedades delas. Ela tambem 
permite que voce envie paginas de teste para as impressoras para se certificar de que estao funcionando 
corretamente. 

Achave aqui e que voce esta configurando as impressoras que sao gerenciadas por seu daemon de 
impressao (cupsd para o servięo CUPS). Depois que urna impressora esta configurada, os usuarios em 
seu sistema local podem usa-la. \bce pode consultar a seęao “Configurando servidores de impressao” 
para aprender a tornar o servidor disponivel para usuarios de outros computadores em sua rede. 

As impressoras configuradas podem ser conectadas diretamente ao computador (como em urna porta 
paralela) ou a outro computador na rede (por exemplo, a partir de outro sistema UNIX ou Windows). 

Configurando impressoras locaiscom a janela Printer Configuration 

Adicione urna impressora local (em outras palavras, urna impressora conectada diretamente ao 
computador) coma janela Printer Configuration utilizando o procedimento que se segue. 

Como adicionar uma impressora local 

Para adicionar uma impressora local a partir de um desktop GNOMĘ no Fedora 16, siga estes passos: 

1 - Selecione Applications => Other => Printing ou digite o seguinte como usuario root em uma janela 
Terminal: 

# system-config-printer & 

A janela Printing sera exibida. 

2 - Clique em “Add”. (Se solicitado, selecione o botao Adjust Firewall para permitir o acesso a 
porta de impressora 631.) Uma janela New Printer aparece. 

3 - Se a impressora que voce deseja configurar for detectada, basta seleciona-la e clicar em 
Forward. Se nao for detectada, escolha o dispositivo ao qual a impressora esta conectada (LPT 
#1 e Serial Port #1 sao as primeiras portas paralela e serial, respectivamente) e clique em 
Forward. (Digite /usr/sbin/lpinfo -v | less emumshell para ver os tipos de 




conexao de impressora.) \bce e solicitado a identificar o driver da impressora. 

4 - Para usar um driver instalado para a impressora, escolha Select Printer From Database e depois 
escolha o fabricante de sua impressora. Como alternativa, voce pode selecionar Provide PPD 
File e fornecer seu próprio arquivo PPD (por exemplo, se voce tiver urna impressora que nao e 
suportada no Linux e tiver umdriver que foi fornecido coma impressora). PPD significa 
PostScript Printer Description. Selecione Forward para ver urna lista de modelos de impressora 
partir da qual voce pode escolher. 


la 

impressora nao aparecer na lista, mas suportar PCL (Printer Control Language da HP), tente selecionar urna das 
essoras HP (como HP LaserJet). Se a impressora suportar PostScript, selecione impressora PostScript na lista, 
cionar Raw Print Queue permite que voce envie documentos que ja estao formatados de acordo com um tipo 
cularde impressora para urna impressora especifica. 


5 - Com seu modelo de impressora selecionado, clique no driver que voce deseja usar com essa 
impressora. Clique em Forward para continuar. 

6 - Adicione as seguintes informaęóes e clique em Forward: 

■ Printer Name — Adicione o nome que voce quer dar para identificar a impressora. O nome deve 

comeęar com urna letra, mas, depois da letra inicial, ele pode conter urna combinaęao de letras, 
numeros, traęos (-) e sublinhados (_). Por exemplo, urna impressora HP em um computador 
chamado mapie poderia ser chamado de hp-maple. 

■ Description — Adicione algumas palavras que descrevem a impressora, tais como seus recursos 

(por exemplo, urna HP LaserJet 2100M com suporte PCL e PS). 

■ Localizaęao — Adicione algumas palavras que descrevem a localizaęao da impressora (por 

exemplo, “Na Sala 205, ao lado da cafeteira”). 

7 - Quando a impressora e adicionada, voce pode ser solicitado a imprimir urna pagina de teste 
(clique em No ou Yes). A entrada da nova impressora e exibida na janela Printing, conforme 
mostrado na Figura 16.3. 






a 16.3 


ala Printer Properties depois de adicionar urna impressora 


8 - Se voce quiser que a impressora seja a padrao, clique com o botao direito na impressora e 
selecione Set As Default. A medida que adiciona outras impressoras, voce pode alterar a 
impressora padrao, selecionando aquela que voce quer e clicando em Set As Default novamente. 

9 - A impressao deve estar funcionando nesse momento. Para se certificar, abra urna janela Terminal 
e use o comando lpr para imprimir umarquivo (como lpr/etc/hosts). (Se quiser 
compartilhar a impressora com outros computadores em sua rede, consulte a seęao “Configurando 
servidores de impressao”, mais adiante, neste capitulo.) 

Editando uma impressora local 

Após clicar duas vezes na impressora que deseja configurar, escolha entre as seguintes opęóes de menu 
para alterar sua configuraęao: 

■ Settings — Os campos Description, Location, Device URI e Make and Model que voce criou 

anteriormente sao exibidos nessa caixa de dialogo. 

■ Policies — Clique emPolicies para configurar os seguintes itens: 

■ State — Selecione as caixas de seleęao para indicar se a impressora imprimira trabalhos que 

estao na fila (Enabled), aceitar novos trabalhos para a impressao (Accepting Jobs) ou estar 
disponivel para ser compartilhada com outros computadores que podem se comunicar com o 
computador (Shared). \foce tambemdeve selecionar Server Settings e clicar na caixa de 
seleęao Share Published printers connected to this system (“Compartilhar impressoras 
publicadas conectadas a este sistema”) antes que a impressora aceite trabalhos de impressao a 
partir de outros computadores. 

■ Policies — Em caso de erro, a seleęao stop-printer faz com que toda a impressao nessa 

impressora parę. \bce tambempode optar por fazer comque o trabalho seja descartado (abort- 
job) ou que uma nova tentativa de imprimi-lo seja feita (retry-job) no caso de ocorrer umerro. 

■ Banner — Por padrao, nao ha paginas de identificaęao de inicio ou firn para a impressora. 

Escolha paginas de identificaęao de inicio ou firn que incluem texto, tal como Classified, 
Confidential, Secret etc. 

■ Access Control — Se a impressora e compartilhada, voce pode selecionar essa janela para criar 

uma lista de usuarios que podem acessar ou parar a impressora (e negar acesso a todos os outros) 
ou uma lista de usuarios que nao podem acessar a impressora (e permitir acesso a todos os 
outros). 

■ Printer Options — Clique em Printer Options para definir padróes para opęóes relacionadas 

como driver da impressora. As opęóes disponiveis sao diferentes para diferentes impressoras. 
Muitas dessas opęóes podem ser substituidas quando alguem imprime um documento. Eis 




algumas das opęóes que voce pode (ounao pode) ter dispomveis: 

■ Watermark — Varias configuraęóes estao dispomveis para que voce possa adicionar e alterar 

marcas d’agua emsuas paginas impressas. Por padrao, Watermark e Overlay estao desativados 
(Nonę). Ao selecionar Watermark (atras do texto) ou Overlay (por cima do texto), voce pode 
definir as configuraęóes de marca d’agua, para determinar como marcas d’agua e 
sobreposięóes sao feitas. Marcas d’agua podemser impressas emcada pagina (Ali) ou 
somente na primeira pagina (First Only). 

Selecione Watermark Text para escolher as palavras que sao usadas para a marca d’agua ou 
sobreposięao (Draft, Copy, Confidential, Finał etc.). \foce pode, entao, selecionar o tipo de letra, 
tamanho, estilo e intensidade da marca d’agua ou da sobreposięao. 

■ Resolution Enhancement — \bce pode usar as configuraęóes atuais da impressora ou optar por 

ativar ou desativar o aprimoramento de resoluęao. 

■ Page Size — O padrao e o tamanho carta dos EUA (U.S. letter), mas voce tambempode fazer a 

impressora imprimir tamanho oficio (legał), envelopes, padrao ISO A4 ou varios outros 
tamanhos de pagina. 

■ Media Source — Escolha a bandeja em que imprimir. Selecione Tray 1 para inserir paginas 

manualmente. 

■ Levels of Gray — Escolha utilizar os niveis de cinza atuais da impressora ou ativar niveis de 

cinza melhorados ou padróes. 

■ Resolution— Selecione a resoluęao de impressao padrao (como 300, 600 ou 1.200 pontos por 

polegada). Resoluęóes mais altas resultam emmelhor qualidade, mas demorammais para 
imprimir. 

■ EconoMode — Use a configuraęao atual da impressora, ou escolha um modo em que voce 

economiza toner, ou um em que voce tern a melhor qualidade possivel. 

■ Job Options — Clique em Job Options para configurar as opęóes padrao comuns que serao 

utilizadas para essa impressora se o aplicativo que esta imprimindo o trabalho ja nao as 
configurou. Essas incluem opęóes comuns (numero de cópias, orientaęao, redimensionar para 
caber e paginas por lado), Image Options (escala, saturaęao, matiz e gama) e Text Options 
(caracteres/polegada, linhas/polegada e configuraędes de margem) . 

■ Ink/Toner Levels — Clique em Ink/Toner Levels para ver informaędes sobre a quantidade de tinta 

ou toner que resta na impressora. (Nemtodas as impressoras informam esses valores.) 

Clique em Apply quando estiver satisfeito comas alteraęóes feitas na impressora local. 

Configu rando impressoras remotas 

Para usar urna impressora que esta disponivel em sua rede, voce deve identifica-la para seu sistema 
Linux. Conex5es de impressora remota suportadas incluem impressoras Networked CUPS (IPP), 
Networked UNIX (LPD), Networked Windows (Samba) e JetDirect. (Obviamente, os servidores de 
impressao CUPS e UNIX podem ser executados a partir de sistemas Linux, bem como a partir de outros 
sistemas UNIX.) 



Em cada caso, voce precisa de urna conexao de rede de seu sistema Linux com os servidores para que as 
impressoras sejamconectadas. Usar urna impressora remota exige que alguem configure essa impressora 
no computador servidor remoto. Consulte a seęao “Configurando servidores de impressao”, mais adiante, 
neste capitulo, para obter informaęóes sobre como fazer isso em seu servidor Linux. 

Use a janela Printing para configurar cada um dos tipos de impressora remota. Esta e a maneira como 
isso e feito no Fedora 16: 

1 - Apartir do painel Desktop, selecione Applications => Other => Printing. 

2 - Clique em “Add”. A janela New Printer aparece. 

3 - Dependendo do tipo de porta que voce tern em seu computador, selecione urna das seguintes 
opęóes: 

■ LPT #1 — Para urna impressora conectada a porta paralela. 

■ Serial Port #1 — Para urna impressora conectada a porta serial. 

■ AppleSocket/HP JetDirect — Para urna impressora JetDirect. 

■ Internet Printing Protocol (IPP) — Para urna impressora CUPS ou outra impressora IPP. A 

maioria das impressoras Linux e Mac OS X se enquadram nessa categoria. 

■ Internet Printing Protocol (HTTPS) — Para urna impressora CUPS ou outra impressora IPP 

sendo compartilhada atraves de urna conexao segura (certificados validos necessarios). 

■ LPD/LPR Host ou Impressora — Para urna impressora UNIX. 

■ Windows Printer via SAMBA — Para urna impressora do sistema Windows. 

Continue comessas etapas emqualquer das próximas seęóes nas quais que forem apropriadas. 

Adicionando uma impressora CUPS remota 

Se voce optar por adicionar uma impressora de CUPS (IPP) que e acessivel atraves de sua rede local a 
partir da janela Printer Configuration, voce deve adicionar a seguinte informaęao a janela que aparece: 

■ Host — O hostname do computador ao qual a impressora esta conectada (ou de outra forma 

acessivel). Isso pode ser umendereęo IP ouum hostname TCP/IP do computador. O nome TCP/IP 
e acessivel a partir de seu arquivo /etc/hosts ou por meio de um servidor de nomes DNS. 

■ Queue — Nome da impressora no servidor de impressao remota CUPS. O CUPS suporta 

instancias da impressora, o que permite que cada impressora tenha varios conjuntos de opęóes. 

Se a impressora CUPS remota for configurada dessa maneira, voce e capaz de escolher um 
caminho especifico para uma impressora, como hp/300dpi ou hp/1200dpi. Uma barra separa o 
nome da fila de impressao, de um lado, e a instancia da impressora, de outro. 

Complete o resto do processo como voce faria para uma impressora local (consulte a seęao 
“Adicionando uma impressora local”, anteriormente, neste capitulo). 


Adicionando uma impressora remota UNIX(LDP/LPR) 



Se optar por adicionar urna impressora UNIX (LPD/LPR) a partir da janela Printer Configuration, voce 
deve adicionar a seguinte informaęao a janela que aparece: 


■ Host — O hostname do computador ao qual a impressora esta conectada (ou de outra forma 

acessivel). Esse e o endereęo IP ou o nome do computador (o nome da maquina e acessivel a 
partir de seuarquivo /etc/hosts oupor meio de umservidor DNS). Selecione o botao Probe 
para procurar o host. 

■ Queue — Nome da impressora no computador UNIX remoto. 

Complete o resto do processo como voce faria para urna impressora local (consulte a seęao 
“Adicionando urna impressora local”, anteriormente, neste capitulo). 


:a 

trabalho de impressao que voce enviar para testar a impressora for rejeitado, o servidor de impressao pode nao 
ermitido o acesso a impressora. Peęa para o administrador do computador remoto seu hostname ao arquivo 
c/lpd. perms. (Digite lpq -P impressora para ver o status do trabalho de impressao.) 


Adicionando uma impressora ao Windows (SMB) 

Permitir que seu computador acesse uma impressora SMB (o servięo de impressao do Windows) envolve 
a adięao de uma entrada para a impressora na janela Select Connection. 

Quando voce escolher adicionar uma impressora Windows a janela Printer Configuration (Windows 
Printer via Samba), selecione Browse para ver uma lista de computadores em sua rede que foram 
detectados como oferecendo servięos SMB (servięo de arquivo e/ou impressao). \hce pode configurar a 
impressora a partir dessa janela da seguinte forma: 

1 - Digite o URI da impressora excluindo o smb : // inicial. Por exemplo, /hostl/myprinter 
ou /mygroup/hostl/myprinter. 

2 - Selecione Prompt user if authentication is required (Exibir prompt para o usuario se for 
necessaria autenticaęao) ou Set authentication details now (Definir detalhes de autenticaęao 
agora). 

3 - Se voce escolheu a segunda opęao, preencha o nome de usuario e senha necessarios para acessar 
a impressora SMB. Clique em Verify para yerificar se voce pode se autenticar no servidor. 

4 - Clique em Forward para continuar. 

Alternativamente, voce pode identificar um servidor que nao aparece na lista de servidores. Digite as 
informaęóes necessarias para criar umURI SMB que contemas seguintes informaęóes: 

■ Workgroup — O nome do grupo de trabalho designado para o servidor SMB. Usar o nome do 

grupo de trabalho nao e necessario emtodos os casos. 

■ Server — O nome NetBIOS ou o endereęo IP do computador, o qual pode ou nao ser o mesmo que 

seu nome TCP/IP. Para traduzir esse nome para o endereęo necessario para chegar ao host SMB, 
o Samba yerifica yarios lugares nos quais o nome pode ser atribuido a um endereęo IP. O Samba 






verifica o seguinte (na ordem mostrada) ate que localize uma correspondencia: o arquivo 
/etc/hosts local, o arquivo /etc/lmhosts local, umservidor WINS na rede e respostas 
as transmissóes emcada interface de rede local para resolver o nome. 

■ Share — Nome sob o qual a impressora e compartilhada com o computador remoto. Ele pode ser 

diferente do nome pelo qual os usuarios locais da impressora SMB conhecema impressora. 

■ User — O nome de usuario e exigido pelo sistema do servidor SMB para dar-lhe acesso a 

impressora SMB. Um nome de usuario nao e necessario se voce estiver autenticando a impressora 
combase no mvel de compartilhamento em vez de usar controle de acesso no nivel de usuario. 
Com o nivel acesso de compartilhamento, voce pode adicionar uma senha para cada impressora 
compartilhada ou sistema de arquivos. 

■ Password — A senha associada ao nome de usuario SMB ou ao recurso compartilhado, 

dependendo do tipo de controle de acesso a ser utilizado. 


inęao 

ido voce insere um usuario e uma senha para o SMB, essa informaęao e armazenada criptografada no arquivo 
c/cups/printers . conf. Certifique-se de que o arquivo permaneęa legivel apenas porroot. 


Eis umexemplo do URI SMB que voce poderia adicionar a caixa SMB://box: 

j j ones:my9passswd@FSTREET/NSl/hp 

O URI mostrado aqui identifica o nome de usuario (j j ones), a senha do usuario (my9passswd), o 
grupo de trabalho (FSTREET), o servidor (NS1) e o nome da fila da impressora (hp). 

Complete o resto do processo como voce faria para uma impressora local (consulte a seęao 
“Adicionando uma impressora local”, anteriormente, neste capitulo). 

Se tudo estiver configurado corretamente, voce pode usar o comando lpr padrao para imprimir o 
arquivo na impressora. Usando esse exemplo, empregue a seguinte sintaxe para imprimir: 

$ cat filel.ps | lpr -P NS1-PS 


la 

ace estiver recebendo mensagens de falha, certifique-se de que o computador no qual voce esta imprimindo esta 
sivel. Para o exemplo Printer NS1 hp, voce pode digitar smbclient -L NS1 -U j jones. Entao, digite 
nha (my9passswd, neste caso). A opęao -L pede informaęóes sobre o servidor, a opęao -u j j ones diz 
fazer login como o usuario jjones. Se receber uma resposta de consulta de nome positiva depois de digitar uma 
a, voce deve ver uma lista de impressoras e arquivos compartilhados do servidor. Confira os nomes e tente 
imirde novo. 








Trabalhando com impressao CUPS _ 

Ferramentas como a administraęao baseada na web do CUPS e a janela Printer Configuration 
efetivamente escondem a instalaęao do CUPS subjacente. Podemhaver momentos, porem, emque voce 
quer trabalhar diretamente com as ferramentas e arquivos de configuraęao que yemcomo CUPS. As 
próximas seęóes descrevem como usar alguns recursos especiais do CUPS. 

Configurando o servidor CUPS (cupsd.conf) 

O processo daemon cupsd ouve solicitaęóes para o servidor de impressao CUPS e responde a esses 
pedidos combase nas configuraęóes no arquivo /etc/cups/cupsd. conf. As variaveis de 
configuraęao no arquivo cupsd. conf sao na mesma forma que aquelas no arquivo de configuraęao do 
Apache (httpd. conf ou apache2 . conf). Digite man cupsd. conf para ver detalhes sobre 
qualquer urna das configuraęóes. 

A janela Printer Configuration acrescenta informaęóes de acesso ao arquivo cupsd. conf. Para outros 
sistemas Linux ou se voce nao tern um desktop em seu servidor, voce pode precisar configurar o arquivo 
cupsd. conf manualmente. E possivel percorrer o arquivo cupsd. conf para ajustar detalhes do 
servidor CUPS. Amaioria das configuraęóes e opcional oupode simplesmente ser deixada como padrao. 
Vamos dar urna olhada emalgumas das configuraęóes no arquivo cupsd. conf. 

Nenhuma classificaęao e configurada por padrao. Com a classificaęao configurada para topsecret, 
voce pode ter Top Secret exibido emtodas as paginas que passampelo servidor de impressao: 

Classification topsecret 

Outras classificaędes que podemsubstituir topsecret incluem classif ied, conf idential, 
secret e unclassif ied. 

As linhas ServerCertif icate e ServerKey (“comentada” por padrao) podem ser configuradas 
para indicar onde o certificado e a chave sao armazenados, respectivamente: 

ServerCertificate /etc/cups/ssl/server.crt 
ServerKey /etc/cups/ssl/server.key 

Ative essas duas linhas se quiser fazer conex5es criptografadas. Entao, adicione seu certificado e sua 
chave aos arquivos anotados. O uso de certificados permite que voce compartilhe sua impressora como 
urna impressora HTTPS IPP. 

O termo browsing (procurar, navegar) se refere ao ato de transmitir informaęóes sobre a impressora em 
sua rede local e ouvir informaęóes de outros servidores de impressao. O browsing esta ativado por 
padrao somente para o host local (@ LOCAL). \hce pode permitir informaęóes de browsing do CUPS 
(BrowseAllow) para endereęos adicionais selecionados. Informaęóes de browsing sao transmitidas, 
por padrao, no endereęo 255.255.255.255. Esses padróes aparecemno arquivo cupsd. conf 


assim: 




Browsing On 
BrowseProtocols cups 
BrowseOrder Deny,Allow 
BrowseAllow from 0LOCAL 
BrowseAddress 255.255.255.255 
Listen *:631 

Para ativar a administraęao baseada na web do CUPS e compartilhar impressoras com outras pessoas na 
rede, o daemon cupsd pode ser configurado para ouvir na porta 631 para todas as placas de rede para 
seu computador combase nesta entrada: Listen * : 631. Por padrao, ele ouve na płaca local somente 

(Listen localhost: 631). 

Ao ativar BrowseRelay (esta desativado por padrao), voce pode permitir que o CUPS procure 
informaęao a ser passada entre duas oumais redes. O sourceaddress e o destination- 
address podemser endereęos IP individuais ou podem representar numeros de rede: 

BrowseRelay source-address destination-address 

Essa e urna boa maneira de permitir que usuarios em varias redes locais conectadas descubram e usem 
impressoras em outras redes locais próximas. 

\bce pode permitir ou negar acesso a diferentes recursos do servidor CUPS. Urna definięao de acesso 
para urna impressora CUPS (criada a partir da janela Printer Configuration) pode aparecer assim: 

<Location /printers/nsl-hpl> 

Order Deny,Allow 
Deny From Ali 
Allow From 127.0.0.1 
AuthType Nonę 
</Location> 

Aqui, a impressao na impressora nsl-hpl e permitida somente para usuarios na maquina local 
(127.0.0.1). Nenhuma senha e necessaria (AuthType Nonę). Para permitir acesso a ferramenta de 
administraęao, o CUPS deve ser configurado para solicitar urna senha (AuthType Basic). 


Iniciando o servidor CUPS 

Para sistemas Linux que usam Scripts de inicializaęao no estilo SystemV (tal como muitas vers5es do 
Fedora e do RHEL), iniciar e desligar o servięo de impressao CUPS e muito facil. Use o comando 
chkconfig para ativar o CUPS de modo que ele inicie em cada reinicializaęao. Execute o script de 
inicializaęao cups para fazer o servięo CUPS iniciar imediatamente. No RHEL 6.x ou versao anterior, 
digite o seguinte como o usuario root: 

# chkconfig cups on 

# service cups start 



Se o servięo CUPS ja estiver executando, voce deve usar restart emvez de start. Usar a opęao 
restart tambeme uma boa maneira de reler todas as opęóes de configuraęao que voce pode ter 
mudado no arquivo cupsd. conf (embora, se o CUPS ja estiver emexecuęao, service cups 
reload releia os arquivos de configuraęao semreiniciar). 

No Fedora, voce usa o comando systemctl emvez de service para iniciar e parar servięos: 

# systemctl status cups.service 

cups.service - CUPS Printing Service 
Loaded: loaded (/lib/systemd/system/cups.service; disabled) 

Active: active (running) sińce Wed, 15 Feb 2012 23:04:01 -0500; 
lmin 

54s ago 

Main PID: 6492 (cupsd) 

CGroup: name=systemd:/system/cups.service~CA 
6492 /usr/sbin/cupsd -f 

\bce pode determinar se o servięo CUPS esta funcionando porque o status apresenta o daemon cupsd 
ativo comPID 6492. Se esse servięo nao estivesse funcionando, voce poderia iniciar o servięo CUPS da 
seguinte maneira: 

# systemctl start cups.service 

Veja o Capitulo 15, “Iniciando e parando servięos”, para obter mais informaęóes sobre os comandos 
systemctl e service a firn de trabalhar comservięos. 

Configurando opędes de impressora CUPS manualmente 

Se sua distribuięao Linux nao tiver uma maneira grafica de configurar o CUPS, voce pode editar os 
arquivos de configuraęao diretamente. Por exemplo, quando uma nova impressora e criada a partir da 
janela Printer Configuration, ela e configurada no arquivo /etc/cups/printers . conf. Eis um 
exemplo de uma entrada de impressora: 

<DefaultPrinter printer> 

Info HP LaserJet 2100M 

Location HP LaserJet 2100M in hall closet 

DeviceURI parallel:/dev/lp0 

State Idle 

Accepting Yes 

Shared No 

JobSheets nonę nonę 
QuotaPeriod 0 
PageLimit 0 
KLimit 0 



</Printer> 


Esse e umexemplo de urna impressora local que serve como a impressora padrao para o sistema local. O 
valor Shared No esta configurado porque a impressora esta atualmente disponivel somente no sistema 
local. Ainformaęao mais interessante relaciona-se com DeviceURI, o qual mostra que a impressora 
esta conectada a porta paralela /dev/lpO. O estado e Idle (pronto para aceitar trabalhos de 
impressao) e o valor de Accepting e Yes (a impressora aceita trabalhos de impressao por padrao). 

DeviceURI temvarias maneiras de identificar o nome do dispositivo de urna impressora, refletindo 
onde a impressora esta conectada. Eis alguns exemplos listados no arquivo printers . conf: 


DeviceURI 

DeviceURI 

DeviceURI 

DeviceURI 

DeviceURI 

DeviceURI 

DeviceURI 

DeviceURI 

DeviceURI 


parallel:/dev/pip 

serial:/dev/ttydl?baud=38400+size=8+parity=none+flow=soft 

scsi:/dev/scsi/scld610 

socket ://hostname:port 

tftp:// hostname/path 

ftp:// hostname/path 

http:// hostname[:port]/path 

ipp:// hostname/path 

smb:// hostname/printer 


Os tres primeiros exemplos mostrama forma para impressoras locais (paralela, serial e SCSI). Os outros 
exemplos sao para servidores remotos. Emcada caso, hostname pode ser o nome do host ou endereęo IP. 
Numeros de porta ou caminhos identificam os locais de cada impressora no host. 




charque voce nao e capaz de imprimir porque um particular driverde impressora nao e suportado no CUPS, voce 
i configurar a impressora para aceitar trabalhos no modo bruto. Isso pode funcionar bem se voce estiver 
imindo a partirde clientes Windows que tern os drivers de impressao corretos instalados. Para ativara impressao 
modo bruto no CUPS, tire o caractere inicial de comentario da seguinte linha no arquivo 

c/cups/mime . types, no Linux: 

pplication/octet-stream 

seguinte linha no arquivo / etc/cups/mime . convs: 

pplication/octet-stream application/vnd.cups-raw 0 - 

Dis disso, voce pode imprimir arquivos como dados brutos em suas impressoras sem usar a opęao -oraw para 
andos print. 


Usando comandos de impressao 







Para permanecer compativel com os antigos recursos de impressao UNIX e Linux, o CUPS suporta 
muitos dos comandos antigos para trabalhar com impressao. A maioria das tarefas de impressao com o 
CUPS pode ser realizada como comando lpr. Aplicaęóes de processamento de texto, como o 
StarOffice, OpenOffice e AbiWord, sao configuradas para usar esse recurso para impressao. 

\bce pode usar a janela Printer Contiguration para configurar os filtros necessarios para cada impressora 
de modo que o texto possa ser formatado corretamente. Opęties para o comando lpr podem adicionar 
filtros para processar adeąuadamente o texto. Outros comandos para o gerenciamento de documentos 
impressos incluem lpq (para visualizar o conteudo de filas de impressao), lprm (para remover 
trabalhos de impressao da fila) e lpc (para controlar impressoras). 

Imprimindocom lpr 

\foce pode usar o comando lpr para imprimir documentos em impressoras locais e remotas (desde que 
as impressoras sejam configuradas localmente). Arquivos de documentos podem ser adicionados ao firn 
da linha do comando lpr ou direcionados para o comando lpr usando urna barra yertical (|). Eis um 
exemplo de um comando lpr simples: 

$ lpr docl.ps 

Quando voce especifica somente umarquivo de documento com lpr, a saida e direcionada para a 
impressora padrao. Como um usuario individual, voce pode alterar a impressora padrao, definindo o 
valor da variavel PRINTER. Normalmente, voce adiciona a variavel PRINTER a umdos seus arquivos 
de inicializaęao, como $HOME/ .bashrc. Adicionando a seguinte linha ao seuarquivo bashrc, por 
exemplo, configura sua impressora padrao como lp3: 

export PRINTER=lp3 

Para substituir a impressora padrao, especifique urna impressora em particular na linha de comando lpr. 
O exemplo a seguir usa a opęao -P de selecionar urna impressora diferente: 

$ lpr -P canyonps docl.ps 

O comando lpr tern urna variedade de opęóes que permitemque ele interprete e formate diversos tipos 
de documentos. Esses incluem -# num, emque num e substituido pelo numero de cópias (de 1 a 100) e - 
1 (o que faz com que um documento seja emtiado no modo bruto, presumindo-se que o documento ja foi 
formatado). Para saber mais opęties para lpr, digite man lpr. 

Listando o status com lpc 

Use o comando lpc para listar o status de suas impressoras. Eis umexemplo: 

$ /usr/sbin/lpc status 


printer is on device 'parallel' speed -1 



hp: ąueuing is enabled 

printing is disabled 
no entries 
daemon present 

deskjet_5550: printer is on device '/dev/null' speed -1 

ąueuing is enabled 
printing is disabled 
no entries 
daemon present 

Essa saida mostra duas impressoras ativas. Aprimeira (hp) esta conectada a porta paralela. A segunda 
(deskj et_5550) e uma impressora de rede (mostrada como /dev/null). Aimpressora hp esta 
desativada (offline), embora a fila esteja habilitada e as pessoas possam continuar a enviar trabalhos 
para a impressora. 

Removendo trabalhos de impressao com Iprm 

Os usuarios podemretirar seus próprios trabalhos de impressao da fila como comando lprm. Usado 
sozinho na linha de comando, lprm remove da impressora padrao todos os trabalhos do usuario. Para 
remover trabalhos de uma impressora esperifica, utilize a opęao -P, como segue: 

$ lprm -P lpO 

Para remover todos os trabalhos de impressao do usuario atual, digite o seguinte: 

$ lprm - 

O usuario root pode remover todos os trabalhos de impressao de um usuario espedfico indicando esse 
usuario na linha de comando lprm. Por exemplo, para remover todos os trabalhos de impressao do 
usuario mikę, o usuario root di gita o seguinte: 

$ lprm -U mikę 

Para remover uma tarefa de impressao individual da fila, indiąue seu numero de trabalho na linha de 
comando lprm. Para encontrar o numero da tarefa, digite o comando lpq. Eis como pode ser uma saida 
desse comando: 



6 6 0 hpsUckdesk CUPS 1-4.3 ■ Woził a Firefox 


<qi * ^ * 

>fr*tled* rfioerong SUftttf gjidits? h«v)linr> * 

Q h|»6<k<*«k - CU*S1.4 J +_ 

0 Hom® Adrrenistration Classes Onfcne H«lp Joos Pnnters 

hpslickdesk (Processing, Accepting Jobs, Not Shared) 


D»*cription HP D®«kJ®t Prtfltor 

Locabon. C&v)®ct®d to łftckdwfc in tt* cupbottd 

Drtv«r HP LaserJet Z i oom - CUPS+Gutenpcint v5 2 5 simpaned {grayscafe, 2-sidod pnntng) 
Connectaon: parefM Vdev«p0 

Detaufts: |oto-sheet*=none, nonę meda=na_le«er_d^x1 linsioee^cre-sdeO 


Searcłi łn hpshdidesk: 


A saida mostra dois trabalhos imprirmveis esperando na fila. (A impressora esta pronta e imprimindo o 
trabalho listado como ativo.) Na coluna Job, voce pode ver o numero do trabalho associado a cada 
documento. Para remover o primeiro trabalho de impressao, digite o seguinte: 


# lprm 133 


Configurando seryidores de impressao _ 

\foce configurou uma impressora para que voce e os outros usuarios em seu computador possam imprimir 
nela. Agora voce quer compartilhar essa impressora com outras pessoas em sua casa, escola ou 
escritório. Basicamente, isso significa configurar a impressora como um servidor de impressao. 

As impressoras configuradas em um sistema Linux podem ser compartilhadas de diferentes maneiras com 
outros computadores na rede. Nao só seu computador pode agir como um servidor de impressao Linux 
(configurando CUPS), como tambem pode aparecer como um servidor de impressao SMB (Windows) 
para computadores clientes. Depois que uma impressora local esta conectada ao seu sistema Linux e seu 
computador esta conectado a sua rede local, voce pode usar os procedimentos desta seęao para 
compartilhar a impressora com computadores clientes usando uma interface Linux (UNIX) ou SMB. 

Configurando uma impressora CUPS compartilhada 

Disponibilizar a impressora local adicionada ao seu computador Linux para outros computadores em sua 
rede e bastante facil. Se existe uma conexao de rede TCP/IP entre os computadores que estao 
compartilhando a impressora, voce simplesmente concede permissao a todos os hosts, maquinas 
individuais ou usuarios de hosts remotos para acessar o servięo de impressao de seu computador. 

Para configurar manualmente uma entrada de impressora no arquivo /etc/cups/printers . conf a 
aceitar trabalhos de impressao de todos os outros computadores, certifique-se de que a linha Shared 
Yes esta configurada. O exemplo a seguir de uma entrada de printers . conf mostrada anteriormente 
neste capitulo demonstra como a nova entrada ficaria: 


<DefaultPrinter printer> 




Info HP LaserJet 2100M 

Location HP LaserJet 2100M in hall closet 

DeviceURI parallel:/dev/lpO 

State Idle 

Accepting Yes 

Shared Yes 

JobSheets nonę nonę 

QuotaPeriod 0 

PageLimit 0 

KLimit 0 

</Printer> 

Em sistemas Linux que usam a janela Printer Configuration descrita no inicio deste capitulo, e melhor 
configurar a impressora compartilhada usando a janela. Veja como, usando o Fedora 16: 

1 - No painel de Desktop no GNOMĘ no Fedora, selecione Applications =* Other => Printing. A 
janela Printer Configuration aparece. 

2 - Para permitir que todas as suas impressoras sejamcompartilhadas, selecione Server => Settings. 
Se voce nao for o usuario root, sera solicitado a inserir a senha de root. O pop-up Basic Server 
Settings aparece. 

3 - Selecione a caixa de seleęao ao lado de Publish shared printers connected to this system 
(“Publicar impressoras compartilhadas conectadas a esse sistema”) e clique em OK. \bce pode 
ser solicitado a modificar seu firewall para abrir as portas necessarias para sistemas remotos 
acessarem suas impressoras. 

4 - Para continuar a permitir ou restringir a impressao emuma impressora especifica, clique duas 
vezes no nome da impressora que voce deseja compartilhar. (Se a ela ainda nao estiver 
configurada, consulte a seęao “Configurando impressoras”, anteriormente, neste capitulo.) 

5 - Escolha o titulo Policies e selecione Shared. 

6 - Se voce quiser restringir o acesso a impressora para usuarios selecionados, selecione o titulo 
Access Control e escolha urna das seguintes opęóes: 

■ Allow Printing for Everyone Except These Users — Com essa opęao selecionada, todos os 

usuarios tern permissao de acesso a impressora. Ao digitar nomes de usuario na caixa Users e 
clicar em Add, voce exclui os usuarios selecionados. 

■ Deny Printing for Everyone Except These Users — Comisso selecionado, todos os usuarios 

sao excluidos do uso da impressora. Digite nomes de usuario na caixa de Users e clique em Add 
para permitir o acesso a impressora para somente os nomes inseridos. 

Agora voce pode configurar outros computadores para usar a impressora, como descrito na seęao 
“Configurando impressoras” deste capitulo. Se voce tentar imprimir a partir de outro computador e ele 
nao funcionar, aqui estao algumas dicas de soluęao de problemas: 

■ Abra seu firewall. Se voce tiver um firewall restritivo, ele pode nao permitir a impressao. \hce 

deve habilitar o acesso a porta 631 para permitir o acesso a impressao em seu computador. A 



janela Printingpode solicitar que voce em algum momento abra essa porta. (Verifique o arquivo 
/etc/sysconf ig/iptables para ver se ha urna regra de firewall configurada que aceita a 
impressao de TCP e UDP 631.) 

■ Ative o estilo LPD de impressao. Certos aplicativos podem exigir um servięo de impressao no 

estilo LPD mais antigo para imprimir em sua impressora compartilhada. Para ativar estilo LPD de 
impressao emseu servidor CUPS, voce deve ativar o servięo cups-lpd. Amaioria das 
distribuięóes Linuxque incluemCUPS tambemdevemter cups-lpd disponivel. No Fedora e 
sistemas RHEL, digite yum install cups-lpd como usuario root para instala-lo. Entao, 
ative o servięo cups-lpd: 

# chkconfig cups-lpd on 

■ Confira os nomes e endereęos. Certifique-se de que voce digitou o nome do computador e a fila 

de impressao corretamente quando o configurou em outro computador. Tente usar o endereęo IP 
emvez do hostname. (Se isso funcionar, e sinal de que ha umproblema de conversao de nome 
DNS.) Executar urna ferramenta como o ethereal permite ver onde a transaęao falha. 

■ Verifique qual endereęo cupsd esta ouvindo. O daemon cupsd deve estar ouvindo fora do 

localhost para sistemas remotos que querem imprimir nele. Para verificar isso, use o comando 
netstat (como usuario root) da seguinte maneira. O primeiro exemplo mostra cupsd só 
ouvindo no host local (127.0.0.1:631); o segundo mostra cupsd ouvindo emtodas as placas de 
rede (0 0.0.0.0:631): 

$ netstat -tupln | ąrep 631 

rep 0 0 127.0.0.1:€31 0.0.0.0:* LISTEK 6452/cupsd 

t netstat -tupln | grep 631 

rep 0 0 0.0.0.0:631 0.0.0.0:* LISTEM 6452/eupsd 

Mudanęas de acesso a sua impressora compartilhada sao feitas nos arquivos cupsd. conf e 
printers . conf emseu diretório / etc/cups. 

Configurando uma impressora compartilhada na rede Samba 

Suas impressoras Linux podem ser configuradas como impressoras SMB compartilhadas a firn de 
parecerem estar disponiveis a partir de sistemas Windows. Para compartilhar sua impressora como se 
fosse uma impressora Samba (SMB), basta definir as configuraęóes basicas do servidor Samba, como 
descrito no Capitulo 19, “Configurando um servidor de compartilhamento de arquivos Windows 
(Samba)”. Todas as suas impressoras devem estar compartilhadas emsua rede local por padrao. A 
próxima seęao mostra como sao as configuraęóes resultantes e como voce pode querer muda-las. 

Entendendo smb.conf para impressao 

Quando voce configura o Samba, o arquivo /etc/samba/smb . conf e criado para permitir que todas 
as suas impressoras configuradas sejamcompartilhadas. Eis algumas linhas do arquivo smb . conf que 
se relacionamcomo compartilhamento de impressoras: 


[global] 



load printers = yes 
cups options = raw 

; printcap name = /etc/printcap 

; printing = cups 

[printers] 

comment = Ali Printers 
path = /var/spool/samba 
browseable = yes 
writeable = no 
printable = yes 

Essas definięóes de exemplo sao o resultado de configurar o Samba a partir do Samba Server 
Configuration (system-conf ig-samba), no Fedora. \bce pode ler as linhas de comentario e saber 
mais sobre o conteudo do arquivo. Linhas que comeęam com um ponto e yirgula (;) indicama 
configuraęao padrao para a opęao em urna linha de comentario. Remova o ponto e yirgula para mudar a 
configuraęao. 

As linhas selecionadas mostramque as impressoras a partir de /etc/printcap foramcarregadas e 
que o seryięo CUPS esta sendo usado. Com cups options configurado como raw, o Samba assume 
que os arquivos de impressao ja foram formatados no momento em que eles alcanęam seu seryidor de 
impressao. Isso permite que os clientes Linux ou Windows forneęam seus próprios driyers de impressao. 

As ultimas linhas sao a definięao real da impressora. Ao alterar a opęao de browseable de no para 
yes, os usuarios podemimprimir emtodas as impressoras (printable = yes). 

Tambem e possiyel armazenar os driyers de impressao nativos do Windows em seu seryidor Samba. 
Quando um cliente Windows utiliza a impressora, o driver automaticamente se torna disponiyel. \hce nao 
precisa usar um driver de CD ou baixar um driver do site do fornecedor. Para ativar o compartilhamento 
de driver de impressora, adicione um compartilhamento Samba chamado print$ que se parece como 
seguinte: 

[print$] 

comment = Printer Driyers 

path = /var/lib/samba/drivers 

browseable = yes 

guest ok = no 

read only = yes 

write list = chris, dduffey 

Depois que o compartilhamento esta disponiyel, voce pode comeęar a copiar os driyers de impressao do 
Windows para o compartilhamento, como descrito no Samba HOWTO: 

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ 
classicalprinting.html#id2 62 6941 



Configu rando clientes SMB 

Ha boas chances de que, se voce estiver configurando urna impressora Samba em seu computador Linux, 
ira querer compartilha-la com os clientes Windows tambem. Se o Samba estiver corretamente 
configurado em seu computador e os computadores clientes podem alcanęar voce atraves da rede, os 
usuarios nao devem ter problemas para encontrar e utilizar sua impressora. 

Para o Windows 7, clique em Iniciar => Dispositivos e Impressoras e selecione a impressora na lista que 
aparece para configura-la. Em alguns sistemas Windows mais antigos, procure sua impressora 
compartilhada Samba em Ambiente de Rede (ou Meus Locais de Rede). Na area de trabalho do Windows 
9x, de um clique duplo no icone NetWork Neighborhood. (A partir do Windows 2000 ou XP, clique duas 
vezes no icone Meus Locais de Rede.) 

Com o Windows Yista, abra o icone Rede. O nome de seu computador host (o nome NetBIOS, o qual 
provavelmente tambem e o nome TCP/IP) e exibido na tela ou dentro de urna pasta de grupo de trabalho 
na tela. Abra o icone que representa seu computador. A janela que se abre mostra suas impressoras e 
pastas compartilhadas. 


:a 

icone de seu computador nao aparecer no Ambiente de Rede ou Meus Locais de Rede, tente usar a janela de 
uisa. A partir do Windows XP, selecione Iniciar => Procurar => Computador ou Pessoas => Computador. Escreva o 
3 de seu computador na caixa Nome do Computador e clique em Pesquisar. Clique duas vezes em seu 
jutador no painel de resultados da janela Pesquisar. Urna janela que exibe as impressoras e as pastas 
jartilhadas do seu computador aparece. 


Depois de sua impressora compartilhada aparecer na janela, configure umponteiro para ela abrindo 
(dando um clique duplo) o icone da impressora. A mensagem diz que voce deve configurar a impressora 
para poder usa-la. Clique em Yes para prosseguir e configurar a impressora para utilizaęao local. O Add 
Printer Wizard aparece. Responda as perguntas sobre como voce pretende usar a impressora e adicione 
os drivers apropriados. Quando voce terminar, a impressora aparecera na janela da impressora. 

Outra forma de configurar urna impressora SMB a partir de um sistema operacional Windows XP e ir 
para Iniciar => Impressoras e Faxes. Na janela Impressoras e Faxes que aparece, clique no icone 
Adicionar Impressora na parte superior esquerda da janela e selecione Impressora de Rede na primeira 
janela. A partir dai voce pode navegar e/ou configurar a impressora SMB. 


Resumo 


Prestaęao de servięos de impressao emrede e essencial na rede de negócios de hoje. Como uso de 
alguns dispositivos conectados a rede, voce pode concentrar sua impressao investindo em alguns poucos 
dispositivos de alta qualidade que varios usuarios podem compartilhar emvez de numerosos dispositivos 
de menor custo. Alem disso, urna impressora centralmente localizada pode facilitar a manutenęao, 
enquanto ainda permite que todos os trabalhos de impressao sejamconcluidos. 

O seryięo de impressao padrao emquase todas as principais distribuiędes Linuxhoje e o CommonUNIX 







Printing System (CUPS). Qualquer sistema Linux que inclui CUPS oferece a interface administrativa 
CUPS baseada na web para a configuraęao de impressao CUPS. Ele tambem oferece arquivos de 
configuraęao no diretório /etc/cups para configurar impressoras e o servięo CUPS (daemon 

cupsd). 

No RHEL, Fedora e outros sistemas Linux, voce pode configurar a impressora comas janelas de 
configuraęao de impressao disponiveis nos desktops KDE e GNOMĘ. Urna variedade de drivers torna 
possivel imprimir em diferentes tipos de impressoras, bem como em impressoras que estao conectadas 
aos computadores na rede. 

\bce pode configurar seu computador como servidor de impressao Linux e tambem pode faze-lo emular 
umservidor de impressao SMB (Windows). Depois que sua rede esta configurada corretamente e urna 
impressora local esta instalada, compartilhar essa impressora atraves da rede como um servidor de 
impressao UNIX ou SMB nao e muito complicado. 

Bcercicios 

Use esses exercicios para testar seus conhecimentos de configuraęao de impressoras no Linux. Essas 
tarefas supdem que voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas 
tarefas tambem funcionem em outros sistemas Linux). Se voce empacar, soluęóes para as tarefas sao 
mostradas no Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

1 - Use a janela Printer Configuration para adicionar urna nova impressora chamada myprinter ao 
seu sistema (a impressora nao precisa estar conectada para configurar urna fila de impressao para 
a impressora nova). Torne-a urna impressora PostScript generica conectada a urna porta local 
serial, LPT ou outra porta. 

2 - Use o comando lpc para ver o status de todas suas impressoras. 

3 - Use o comando lpr para imprimir o arquivo /etc/hosts nessa impressora. 

4 - Verifique a fila de impressao da impressora para ver o trabalho de impressao que esta la. 

5 - Remova o trabalho de impressao da fila (cancele-o). 

6 - Usando a janela Printing, configure a configuraęao basica do servidor que publica suas 
impressoras de modo que outros sistemas em sua rede local possam imprimir em suas 
impressoras. 

7 - Habilite a administraęao remota de seu sistema a partir de um navegador. 

8 - Demonstre que voce pode fazer a administraęao remota de seu sistema, abrindo um navegador 
web na porta 631 de outro sistema para o sistema Linux rodando o servidor de impressao. 

9 - Use o comando netstat para ver qual endereęo o daemon cupsd esta ouvindo (a porta de 
impressao e 631). 

10 -Exclua a entrada da impressora myprinter de seu sistema. 




Configurando um servidor web 


CAPITUj^ 


NESTE CAPITULO 

Instalando um servidorweb Apache 
Configurando o Apache 

Tornando o Apache seguro com iptables e SELinux 
Criando hosts virtuais 
Construindo um site seguro (HTTPS) 

Verificando erros no Apache 

O s servidores web sao responsayeis por servir o conteudo que voce ve na internet todos os dias. De 
longe, o servidor web mais popular e o servidor web Apache (HTTPD), que e patrocinado pela 
Apache Software Foundation (http : / /apache . org). Como o Apache e umprojeto de código 
aberto, ele esta disponivel em todas as principais distribuięóes Linux, incluindo o Fedora, RHEL e 
Ubuntu. 

\foce pode configurar um servidor web basico para rodar em Linux em apenas alguns minutos. Mas ha um 
numero enorme de maneiras pelas quais voce pode configurar o servidor web Apache. Ele pode ser 
configurado para servir conteudo para varios dominios (hospedagem virtual), fornecer comunicaęóes 
criptografadas (HTTPS) e proteger parte de ou todo um site usando diferentes tipos de autenticaęao. 

Este capitulo conduz voce ao longo dos passos para instalar e configurar um servidor web Apache. Essas 
etapas incluem procedimentos para proteger seu servidor, bem como a utilizaęao de urna variedade de 
módulos, de modo que voce pode usar diferentes metodos de autenticaęao e linguagens de script em seu 
servidor web. Em seguida, descrevo como gerar certificados para criar um site HTTPS Secure Sockets 
Layer (SSL). 


Entendendo o servidor web Apache 


O Apache HTTPD (tambem conhecido como o Apache HTTPD Server) fornece o servięo com o qual os 
navegadores web clientes se comunicam O processo daemon (httpd) executa em segundo piano em seu 
seryidor e aguarda solicitaęóes de clientes web. Nayegadores da web fornecem essas conex5es ao 




daemon HTTP e enviam solicitaęóes, que o daemon interpreta enviando os dados apropriados (como urna 
pagina web ou outro conteudo). 

O Apache HTTPD inclui uma interface que permite que os módulos sejamamarrados ao processo para 
lidar com partes espedficas de uma solicitaęao. Entre outras coisas, ha módulos disponiyeis para lidar 
com o processamento de linguagens de script, como Perl ou PHP, dentro de documentos, web e para 
adicionar criptografia a conexdes entre os clientes e o servidor. 

O Apache comeęou como uma coleęao de correęóes e melhorias do servidor HTTP feitas pelo Centro 
Nacional de Aplicaęóes de Supercomputaęao (NCSA), da Universidade de Illinois, em Urbana- 
Champaign. O daemon NCSA HTTP foi o mais popular servidor HTTP da epoca, mas comeęou a ficar 
defasado depois que seu autor, Rob McCool, deixou o NCSA em meados de 1994. 


ta 

) projeto que veio do NCSA e o Mosaic. A origem da maioria dos navegadores modernos pode ser remontada ate 
isaic. 


No inlcio de 1995, um grupo de desenvolvedores formou o Apache Group e comeęou a fazer 
modificaęóes importantes na base de código do NCSA HTTPD. 

O Apache logo substituiu o NCSA HTTPD como o servidor web mais popular, um tltulo que mantem ate 
hoje. O Grupo Apache mais tarde formou a Apache Software Foundation (ASF), para promover o 
desenvolvimento do Apache e outros softwares livres. Como inlcio de novos projetos na ASF, o 
servidor Apache ficou conhecido como Apache HTTPD, embora os dois termos sejamusados como 
sinónimos. Atualmente, a ASF tern mais de 100 projetos de alto nivel, incluindo o Tomcat (que inclui as 
tecnologias de código-fonte aberto Java Servlet e JavaServer Pages), o Hadoop (umprojeto que fornece 
computaęao distribulda de alta disponibilidade) e o SpamAssassin (umprograma de filtragemde e-mail). 


Obtendo e instalando o servidorweb 


Embora o Apache seja disponibilizado emtodas as importantes distribuięóes Finux, muitas vezes ele e 
empacotado de maneiras diferentes. Na maioria dos casos, tudo que voce precisa para iniciar um 
seryidor web Apache simples e o pacote que contemo daemon Apache (/usr/sbin/httpd) e seus 
arquivos relacionados. No Fedora, RHEFe outros, o seryidor web Apache vemno pacote httpd. 

Entendendo o pacote httpd 

Para examinar o pacote httpd no Fedora ou no RHEF antes de instala-lo, baixe-o usando o comando 
yumdownloader e execute alguns poucos comandos rpm para yisualizar seu conteudo: 


# yumdownloader httpd 

# rpm -qpi httpd-*rpm 
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Release : 2.f=16 Build Datę: Mon 05 Mar 2012 

05:54:02 AM EST 

Znstall Datę: (not installedl Build Hcst: x2ć - 0S.phx2. 

fedoraproj eco.org 

Group System Environr.ent/Daemons Sourre RPM: hoopd”2.2.22”2 . 

£cl€.src.rpm 

Sise : 2921066 License: ASL 2.0 

Signature : R3A/0, Tue 06 Mar 2012 12:41:45 AM EST, Key ID 

067£00b6a52ba4b7 

Farkager : Fedora Project 

URL : http://httpd.apache.org/ 

Summary : Apache HTTP Server 

Description : 

The Apache HTTP 3erver is a powerful, e££icient> and entenaible 
xeb server. 


O comando yumdownloader baixa a versao mais recente do pacote httpd para o diretório atual. O 
comando rpm -qpi consulta o pacote RPM httpd que voce acabou de baixar para obter informaęóes. 
\bce pode ver que o pacote foi criado pelo Projeto Fedora, que e assinado e que e de fato o pacote 
Apache HTTP Server. Entao, olhe dentro do pacote para ver os arquivos de configuraęao: 

# rpm -qpc httpd-*rpm 

/etc/httpd/conf/httpd.conf 

/etc/httpd/conf.d/welcome.conf 

/etc/httpd/conf/magie 

/etc/sysconfig/httpd 

/etc/logrotate.d/httpd 

/etc/tmpfileś.d/httpd.conf 

/var/www/error/HTTP_BAD_GATEWAY.html.var 

/var/www/error/HTTP_BAD_REQUEST.html.var 

/var/www/error/HTTP FORBIDDEN.html.var 


O principal arquivo de configuraęao e o /etc/httpd/conf/httpd. conf do Apache. O arquivo 
welcome . conf define a pagina inicial padrao para seu site, ate que voce adicione algum conteudo. O 
arquivo de magie define regras que o servidor pode usar para descobrir umtipo de arquivo quando o 
servidor tentar abri-lo. Opęóes de linha de comando que sao usadas como daemon httpd sao definidas 
no arquivo /etc/sysconf ig/httpd. 

O arquivo /etc/logrotate . d/httpd define como os arquivos de logproduzidos pelo Apache sao 
rodados. O arquivo /etc/tmpf ileś .d/httpd. conf define um diretório que contem arquivos 
executaveis temporarios (nao ha necessidade de mudar esse arquivo). As ultimas entradas do arquivo de 
configuraęao estao no diretório /var/www/error. Arquivos no diretório definemas respostas que um 
usuario ve quando um erro e encontrado, como urna mensagem de arquivo nao encontrado ou permissao 
de acesso negada. 

Umlocal nao mostrado na lista de arquivos de configuraęao httpd e o diretório 
/etc/httpd/conf. d. Qualquer arquivo no diretório que termina em .conf e puxado para o 
arquivo httpd. conf principal e e usado para configurar o Apache. Amaioria dos pacotes de módulos 
que vemcomarquivos de configuraęao coloca-os no diretório /etc/httpd/conf . d. Por exemplo, 





os módulos mod_ssl (para servidores web seguros) e mod_python (para interpretar código python) 
temarquivos de configuraęao relacionados no diretório /etc/httpd/conf . d, chamados 
ssl. conf e python . conf, respectivamente. 

\foce pode simplesmente instalar o pacote httpd para iniciar a configuraęao de seu servidor web, mas 
pode preferir adicionar alguns outros pacotes que sao frequentemente associados como pacote httpd. 
Urna maneira de fazer isso e instalar o grupo Web Server inteiro como segue: 

# yum groupinstall "Web Server" 

Eis os pacotes, junto como pacote httpd, no grupo Web Server no Fedora, que voce recebe por 
padrao: 

■ httpd-manual — Preencha o diretório /var/www/manual comos manuais de documentaęao do 
Apache. Depois de iniciar o servięo httpd, voce pode acessar esse conjunto de manuais a partir 
de umnavegador para a maquina local digitando httpd: //localhost/manual na caixa de 
localizaęao. Externamente, em vez de localhost, voce poderia usar o nome de dominio totalmente 
qualificado ou endereęo IP do sistema. A tela Apache Documentation aparece como mostrado na 
Figura 17.1. 



RA 17.1 _ 

;e a documentaęao do Apache diretamente a partir do servidor Apache local. 


■ mod_ssl — Contem o módulo e o arquivo de configuraęao necessarios para o servidor web 

fornecer conex5es seguras para os clientes usando Secure Sockets Layer (SSL) e Transport Layer 
Security (TLS). Esses recursos sao necessarios se voce precisar de comunicaęóes criptografadas 
para compras online ou outros dados que voce deseja manter privados. O arquivo de 
configuraęao esta localizado em: /etc/httpd/conf. d/ssl. conf. 

■ crypto-utils — Contem comandos para a geraęao de chaves e certificados necessarios para fazer a 

seguranęa das comunicaęóes como servidor web Apache. 

■ mod_perl — Contem o módulo Perl (mod perl), o arquivo de configuraęao e os arquivos 

associados necessarios para permitir que o servidor web Apache execute diretamente qualquer 
código Perl. 

■ mod_python — Contem o módulo Python, o arquivo de configuraęao e a documentaęao associados 

coma execuęao de código Python diretamente no Apache. 

■ php — Contem o módulo PHP e o arquivo de configuraęao necessarios para rodar Scripts PHP 

diretamente no Apache. Pacotes relacionados incluemphp-ldap (para a execuęao de código 
PHP que precisa acessar bancos de dados LDAP) e php-mysql (para adicionar suporte de 
banco de dados ao servidor Apache). 

■ squid — Como mencionado no Capitulo 14 (“Administrando redes”), o servidor proxy Squid 

fornece servięos de proxy para os protocolos especificos (como HTTP). Apesar de nao fornecer 
conteudo HTTP, um servidor proxy Squid normalmente encaminha solicitaęóes de clientes de 
proxy para a internet ou outra rede que fornece conteudo web. Isso proporciona um meio de 
controlar ou filtrar conteudo que clientes podem alcanęar de casa, da escola ou do local de 
trabalho. 

■ distcache — Usado como pacote mod ssl para cache de dados de sessao SSL/TLS. 

■ webalizer — Contem ferramentas para analisar dados do servidor web. 

Pacotes opcionais do grupo Web Server tambem sao exibidos a partir do comando yum groupinf o. 
Alguns desses pacotes oferecemmaneiras especiais de fornecer conteudo, tais como wikis (moin), 
sistemas de gerenciamento de conteudo (drupal7) e blogs (wordpress). Outros incluemferramentas 
para plotar graficos de estatisticas web (awstats) ou oferecem alternativas web “leves” a umservidor 
Apache (lighttpd e cherokee). 


Instalando o Apache 




Embora voce só precise de httpd para comeęar com um servidor web Apache, se estiver comeęando a 
aprender sobre o Apache, voce deve tambem instalar os manuais (httpd-manual). Se estiver 
pensando emcriar umsite seguro (SSL) e, possivelmente, gerar algumas estatisticas sobre seu site, voce 
pode simplesmente instalar todo o grupo: 

# yum groupinstall "Web Server" 

Supondo que voce tenha urna conexao de internet com o repositório Fedora (ou o repositório RHEL, se 
voce estiver usando RHEL), todos os pacotes obrigatórios e padrao desse grupo sao instalados. \bce tem 
todo o software de que precisa para fazer os procedimentos e exercicios descritos neste capitulo. 


Iniciando o Apache 


Para fazer o servidor web Apache funcionar, e recomendavel ativar o servięo para iniciar a cada 
reinicializaęao e inicia-lo imediatamente. No Red Hat Enterprise Linux (RHELate 6) e em distribuięóes 
mais antigas do Fedora, voce pode digitar o seguinte como root: 

# chkconfig httpd on 

# service httpd start 

Starting httpd: [ OK ] 

Em sistemas Fedora recentes, vcce habilita e inicia httpd usando 
o comando systemctl: 

# systemctl enable httpd.service 

# systemctl start httpd.service 

# systemctl status httpd.service 

httpd.service - The Apache HTTP 5erver (prefork MPM) 

Lcaded: loaded (/lib/systemd/system/httpd.service; enabled) 

Active: active (running) sińce Tue, 01 May 2012 20:18:44 
-0400; 93 ago 

Proce33: 26516 ExecStart=/usr/3bin/httpd $CPTICMS -k start 
(code=exited, status=0/SUCCESS) 

Main PID: 26919 (httpd) 

CGroup: nane=systemd:/system/httpd.service 

t 26915 /usr/sbin/httpd -k start 
26921 /usr/sbin/httpd -k start 


Quando o servięo httpd inicia, oito processos daemon httpd sao carregados por padrao, para 
responder as solicitaęóes ao servidor web. \foce pode configurar mais oumenos daemons httpd para 
sereminiciados combase em configuraęóes no arquivo httpd. conf (descritas na seęao “Entendendo 
os arquivos de configuraęao do Apache”). Para alterar o comportamento do daemon httpd, voce pode 
adicionar opęóes a variavel OPTIONS= no arquivo /etc/sysconf ig/httpd. 

Como ha diferentes vers5es do httpd por ai, verifique a pagina man (man httpd) para ver quais 
opęóes podemser passadas para o daemon httpd. Por exemplo, definir OPTIONS="-e debug" 
aumenta o nivel de registro em log de modo que o numero maximo de mensagens do Apache e enviado em 
arquivos de log. Reinicie o servięo httpd para que as alteraęóes tenhamefeito. Digite o comando ps 
para verificar se as opęóes fizeram efeito: 

? ps -ef | grep httpd 

root 27126 1 0 16:56 ? 00:00:00 /usr/sbin/httpd -e debug 
apache 27128 27126 0 16:56 ? 00:00:00 /usr/sbm/httpd -e debug 




Se voce adicionou urna opęao de depuraęao, lembre-se de remover essa opęao de 
/etc/sysconf ig/httpd quando terminar de depurar o Apache e reiniciar o servięo. Se deixar a 
depuraęao ativa, ira rapidamente encher seus arquivos de log. 


Tornando o Apache seguro 

Para tornar o Apache seguro, voce precisa estar ciente dos recursos padrao de seguranęa (permissóes do 
Linux, posse, firewalls e seguranęa reforęada Linux), bem como recursos de seguranęa que sao 
esperificos do Apache. As seęóes a seguir descrevem os recursos de seguranęa que se relacionam com o 
Apache. 

Permissóes e posse de arquivos no Apache 

O processo daemon httpd e executado sob o usuario apache e o grupo apache. Por padrao, o 
conteudo HTMLe armazenado no diretório /var/www/html (como determinado pelo valor de 

DocumentRoot no arquivo httpd. conf). 

Para o daemon httpd ser capaz de acessar esse conteudo, as permissóes padrao do Linux se aplicam: 
se a permissao de leitura nao estiver ativada para “outros” usuarios, ela deve estar ativada para o usuario 
ou o grupo apache de modo que os arquivos possam ser lidos e servidos aos clientes. Da mesma 
maneira, qualquer diretório que o daemon httpd precise percorrer para chegar ao conteudo deve ter 
permissao de execuęao para o usuario apache, o grupo apache ou outro usuario. 

Embora voce nao possa logar como o usuario apache (/sbin/nologin e o shell padrao), voce pode 
criar conteudo como root e alterar sua posse (comando chown) ou permissao (comando chmod). Com 
frequencia, porem, contas separadas de usuario ou grupo sao adicionadas para criar conteudo que pode 
ser lido por todos (outro), mas apenas gravavel por esse usuario ou grupo especial. 

Apache eiptables 

Se tiver bloqueado seu firewall iptables no Linux, voce precisa abrir varias portas para que os 
clientes possamfalar como Apache atraves do firewall. Os servięos web padrao (HTTP) sao acessiveis 
pela porta TCP 80 e servięos web seguros (HTTPS) sao acessiveis pela porta TCP 443. Para verificar 
quais portas estao sendo usadas pelo servidor httpd, use o comando netstat: 

$ netstat -tupią I grep httpd 

rep 0 0 :::80 :::* LISTEM 29169/hrrpd 

tcp 0 0 :::443 :::* LISTEM 291€5/hrrpd 


A saida mostra que o daemon httpd (ID de processo 29169) esta ouvindo todos os endereęos na porta 
80 (: : : 8 0) e na porta 443 (: : : 4 4 3). Ambas as portas estao associadas ao o protocolo TCP (tcp). 
Para abrir essas portas no Fedora ou no Red Hat Enterprise Linux, voce pode adicionar regras ao arquivo 
/etc/sysconf ig/iptables (emalgumlugar antes de um DROP ou RE JECT finał), como a seguir: 

-A INPUT -m State --State NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -m State --State NEW -m tcp -p tcp --dport 443 -j ACCEPT 

Reinicie o servięo de iptables para as novas regras entrarememvigor. 



ApacheeSELinux 

Se Security Enhanced Linux (SELinux) estiver configurado como Enforcing (como esta por padrao no 
Fedora e no Red Hat Enterprise Linux), o SELinux acrescenta outra camada de seguranęa por cima de seu 
servięo httpd. Basicamente, o SELinux serve para proteger o sistema contra danos causados pelo 
daemon httpd. Isso e feito criando politicas que: 

■ Negamacesso a arquivos que nao sao definidos para os contextos de arquivos corretos. Para 

httpd no SELinux, ha diferentes contextos de arquivos de conteudo, de configuraęao, de log, 
Scripts e outros relacionados com httpd. Qualquer arquivo que nao esteja configurado para o 
contexto apropriado nao sera acessivel para o daemon httpd. 

■ Impedemque recursos inseguros sejamusados, como o upload de arquivos e autenticaęao emtexto 

simples, definindo booleanos para tais recursos na posięao desativado. \bce pode ativar 
booleanos seletivamente conforme eles forem necessarios, caso atendam aos requisitos de 
seguranęa. 

■ Impedem que o daemon httpd acesse recursos nao padrao, como urna porta fora das portas 

padrao que o servięo esperaria para usar. 

Urna descrięao completa do SELinux esta contida no Capitulo 24, “Aprimorando a seguranęa do Linux 
como SELinux”. Mas aqui estao algumas coisas especificas que voce deve saber sobre o uso do SELinux 
como servięo httpd Apache: 

■ Desative o SELinux. \bce nao precisa usar o SELinux. \bce pode configurar o SELinux para 

funcionar no modo Permissive, caso ache que e muito dificil e desnecessario criar as politicas 
dele exigidas para que o servidor web trabalhe com ele no modo Enforcing. \bce pode mudar o 
modo para Permissive editando o arquivo /etc/sysconf ig/selinux de modo que o valor 
de SELINUX seja definido da forma mostrada abaixo. Com isso configurado, da próxima vez que 
voce reiniciar o sistema, ele estara no modo Permissive. Isso significa que se voce quebrar 
politicas do SELinux, esse evento e registrado, mas nao impedido (como seria no modo 
Enforcing). 

SELINUX=permissive 

■ Leia a pagina man httpd_selinux. Digite man httpd_selinux no shell. Essa pagina man vai 

mostrar os contextos de arquivos apropriados e os booleanos disponiveis. 

■ Use localizaęoes padrao para arquivos. Quando voce cria novos arquivos, eles herdam seus 

contextos dos diretórios emque estao. Como /etc/httpd esta configurado para o contexto 
certo para arquivos de configuraęao, /var/www/html esta certo para arquivos de conteudo 
etc., simplesmente copiar os arquivos para essas localizaęóes ou criar novos arquivos nelas faz 
comque os contextos de arquivos sejam definidos corretamente. 

■ Modifiąue o SELinux para permitir recursos nao padrao. Voc:e pode querer servir conteudo web 

a partir do diretório /mystuf f ou colocar os arquivos de configuraęao no diretório 
/etc/whatever. Da mesma maneira, voce pode querer permitir que os usuarios de seu 
servidor faęam upload de arquivos, executem Scripts ou ativem outros recursos que estao 



desabilitados no SELinux por padrao. Nesses casos, voce pode usar comandos do SELinux para 
definir os contextos de arquivos e booleanos de que voce precisa para faze-lo trabalhar do jeito 
que voce quer. 

Nao deixe de ler o Capitulo 24 para saber mais sobre o SELinux. 

Entendendo os arquivos de configuraęao do Apache 

Os arquivos de configuraęao para Apache HTTPD sao incrivelmente flexiveis, o que significa que voce 
pode configurar o servidor para se comportar de quase todas as maneiras que quiser. Essa flexibilidade 
vem com o custo de urna maior complexidade na forma de um grandę numero de opęóes de configuraęao 
(chamadas de diretivas). Mas, na pratica, voce precisa estar familiarizado comalgumas diretivas. 


ta 

>ulte http: //httpd. apache . org/docs/ para ver uma lista completa das diretivas suportadas pelo 
;he. Se tiver o httpd-manual instalado, voce pode ler as descrięoes dessas diretivas e outros recursos do 
:he abrindo o manuał a partir do servidor executando o Apache que voce tem: 

.p : //localhost/manuał/. 


No Fedora e no RHEL, o principal arquivo de configuraęao basica do servidor Apache esta em 
/etc/httpd/conf/httpd. conf. Alemdesse arquivo, qualquer outro que termina com . conf no 
diretório /etc/httpd/conf . d tambeme utilizado para configuraęao do Apache (combase emuma 
linha Include no arquivo httpd. conf). No Ubuntu, a configuraęao do Apache e armazenada em 
arquivos de texto lidos pelo servidor Apache, comeęando com / etc/apache2/apache2.conf. A 
configuraęao e lida do inicio ao firn, com a maioria das diretivas sendo processadas na ordem em que 
sao lidas. 

Usando diretivas 

O escopo de muitas diretivas de configuraęao pode ser alterado combase no contexto. Emoutras 
palavras, alguns parametros podem ser definidos em um nivel global e depois mudados para um arquivo, 
diretório ou maquina virtual especificos. Outras diretivas sao sempre de natureza global, como aquelas 
especificando quais endereęos IP o servidor ouve. Outras ainda só sao validas quando aplicadas a uma 
localizaęao especifica. 

Localizaęóes sao configuradas na forma de uma tag inicial, contendo o tipo de localizaęao e uma 
localizaęao de recursos, seguidos pelas opęóes de configuraęao para essa localizaęao e terminando com 
uma tag finał. Essa forma e muitas vezes chamada de bloco de configuraęao e e muito parecida com 
código HTML. Umtipo especial de bloco de configuraęao, conhecido como bloco de localizaęao, e 
usado para limitar o escopo das diretivas a arquivos ou diretórios especificos. Esses blocos tema 
seguinte forma: 


<especificador da tag de localizaęao> 

(opęóes especificas para objetos correspondentes ao especificador 






en tram neste bloco) 

</tag de localizaęao > 


Ha diferentes tipos de tags de localizaęao e eles sao selecionados combase no tipo de localizaęao de 
recurso que esta sendo especificado. O especificador que e incluldo na tag inicial e tratado combase no 
tipo da tag de localizaęao. As tags de localizaęao que geralmente voce usa e encontra sao Directory, 
Files e Location, o que limita o escopo das diretivas a determinados diretórios, arquivos ou 
localizaęóes, respectivamente. 

■ Tags Directory sao usadas para especificar umcaminho combase na localizaęao no sistema de 

arquivos. Por exemplo, <Directory /> se refere ao diretório-raiz no computador. Diretórios 
herdamconfiguraęóes dos diretórios acima deles, como bloco Directory mais especifico 
substituindo os menos especificos, independentemente da ordem em que aparecem nos arquivos 
de configuraęao. 

■ Tags Files sao usadas para especificar os arquivos pelo nome. Tags Files podemestar 

contidas dentro de blocos Directory para limita-los a arquivos sob esse diretório. 
Configuraęóes dentro de umbloco Files substituemos blocos Directory. 

■ Tags Location sao usadas para especificar o URI usado para acessar um arquivo ou diretório. 

Essas tags sao diferentes das tags Directory no sentido de que se relacionamcomo endereęo 
contido na solicitaęao e nao com a localizaęao real do arquivo no disco. Tags Location sao 
processadas por ultimo e substituemas configuraęóes em blocos Directory e Files. 

Versóes de correspondencia de texto dessas tags — DirectoryMatch, FilesMatch e 
LocationMatch — tema mesma funęao, mas podemconter expressóes regulares na especificaęao de 
recursos. Blocos FilesMatch e LocationMatch sao processados ao mesmo tempo emque Files 
e Location, respectivamente. Blocos DirectoryMatch sao processados depois dos blocos 

Directory. 

O Apache tambem pode ser configurado para processar opęóes de configuraęao contidas em arquivos 
como nome especificado na diretiva AccessFileName (que e geralmente . htaccess). Diretivas 
emarquivos de configuraęao de acesso sao aplicadas a todos os objetos sob o diretório que elas estao 
contidas, incluindo subdiretórios e seus conteudos. Os arquivos de configuraęao de acesso sao 
processados ao mesmo tempo, como blocos Directory, utilizando urna ordem similar de 
“correspondencia de texto mais especifica”. 


ta 

ivos de controle de acesso sao uteis para permitir que os usuarios alterem as configuraęóes especificas sem ter 
so aos arquivos de configuraęao do servidor. As diretivas de configuraęao permitidas dentro de um arquivo de 
guraęao de acesso sao determinadas pela configuraęao AllowOverride, no diretório em que estao 
das. Algumas diretivas nao fazem sentido nesse nivel e geralmente resultam em urna mensagem “server internal 
” ao tentar acessar a URI. A opęao AllowOverride e coberta em detalhes em 
p://httpd.apache.org/docs/mod/core.html#allowoverride. 






Tres diretivas comumente encontradas emblocos de localizaęao e arquivos de controle de acesso sao 

DirectoryIndex, Options e ErrorDocument: 

■ DirectoryIndex diz ao Apache qual arquivo carregar quando o URI contemumdiretório, mas 

nao umnome de arquivo. Essa diretiva nao funciona emblocos Files. 

■ Options e usada para ajustar a forma como o Apache lida com arquivos dentro de um diretório. 

Aopęao ExecCGI diz ao Apache que arquivos no diretório podemser executados como Scripts 
CGI e a opęao Includes diz ao Apache que inclusóes do lado do servidor (SSI) sao 
permitidas. Outra opęao comume a opęao Indexes, que instrui o Apache a gerar urna lista de 
arquivos se umdos nomes encontrados na configuraęao DirectoryIndex estiver faltando. 
Urna lista de opęóes absolutas pode ser especificada ou a lista de opęóes pode ser modificada 
pela adięao de umsinal de + ou - na frente de umnome de opęao. Veja 
http : //httpd. apache . org/docs/mod/core . html#options para obter mais 
informaęóes. 

■ Diretivas ErrorDocument podem ser usadas para especificar umarquivo contendo mensagens 

para enviar aos clientes da web quando um determinado erro ocorre. A localizaęao do arquivo e 
relativa ao diretório /var/www. Adiretiva deve especificar umcódigo de erro e o URI 
completo para o documento de erro. Códigos de erro possiveis incluem 403 (acesso negado), 404 
(arquivo nao encontrado) e 500 (erro interno do servidor). \foce pode encontrar mais informaęóes 
sobre a diretiva ErrorDocument em 

http :/ /httpd.apache.org/docs/mod/core.html#errordocument. Como 
exemplo, quando um cliente solicita urna URL do servidor que nao foi encontrado, a seguinte linha 
ErrorDocument faz comque o código de erro 404 seja enviado ao cliente com urna mensagemde 
erro que esta listada no arquivo /var/www/error/HTTP_NOT_FOUND . html. var. 

ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var 

Outro uso comum dos blocos de localizaęao e arquivos de controle de acesso e limitar o acesso a um 
recurso. Adiretiva Al Iow pode ser usada para permitir o acesso a hosts correspondentes, e a diretiva 
Deny pode ser usada para proibir. Ambas as opęóes podem ocorrer mais de urna vez dentro de umbloco 
e sao tratadas combase na configuraęao Order. Configurar Order como Deny, Allow permite o 
acesso a qualquer maquina que nao esteja listada emuma diretiva Deny. Urna configuraęao de 
Allow, Deny nega acesso a qualquer host nao permitido emuma diretiva Allow. 

Como a maioria das outras opęóes, a opęao Allow ou Deny mais especifica para um host e usada, o 
que significa que voce pode negar (Deny) acesso a umintervalo e permitir (Allow) acesso a 
subconjuntos desse intervalo. Ao adicionar a opęao Satisfye alguns parametros adicionais, voce 
pode adicionar a autenticaęao por senha. Para mais informaęóes sobre controle de acesso, consulte 

http://httpd.apache.org/docs/mod/mod_access.html. 

Entendendo as configuraęóes padrao 

A razao por que voce pode comeęar a usar o servidor web Apache logo que o instala e que o arquivo 
httpd. conf inclui configuraęóes padrao que informamao servidor coisas como onde encontrar 



conteudo da web, Scripts, arquivos de log e outros itens que o servidor precisa para operar. Esse arquivo 
tambem inclui configuraęóes que informam ao servidor quantos processos dele executar por vez e como o 
conteudo do diretório e exibido. 

Se quiser hospedar umunico site (como para o dominio example . com), voce pode simplesmente 
adicionar conteudo ao diretório /var/www/html e adicionar o endereęo de seu site a umservidor de 
DNS para que outros possam procura-lo. \bce pode, entao, alterar diretivas, tais como aquelas descritas 
na seęao anterior, conforme voce precisar. 

Para ajudar voce a entender as configuraęóes que vemno arquivo httpd. conf padrao, mostro a seguir 
algumas dessas configuraęóes com descrięóes abaixo. Removi comentarios e reorganizei algumas das 
configuraęóes para maior clareza. 

As definięóes a seguir mostram localizaęóes emque o servidor httpd aceita solicitaęóes para baixar 
(get) e subir (put ) conteudo por padrao: 

ServerRoot "/etc/httpd" 

PidFile run/httpd.pid 
Include conf.d/*.conf 
ErrorLog logs/error_log 
CustomLog logs/access_log combined 
DocumentRoot "/var/www/html" 

ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" 

Adiretiva ServerRoot identifica /etc/httpd como a localizaęao onde arquivos de configuraęao, 
arquivos de log e arquivos PID sao armazenados. O caminho definido pela configuraęao PidFile 
(run/httpd. pid) indica onde o processo de identificaęao do processo httpd e armazenado. Ele e 
anexado ao caminho definido pela configuraęao ServerRoot, o que resulta na gravaęao do PID em 

/etc/httpd/run/httpd. pid /. 

No ponto dentro do arquivo emque a linha Include aparece, todos os arquivos que terminamem 
. conf no diretório /etc/httpd/conf . d sao incluidos no arquivo httpd. conf. Os arquivos de 
configuraęao sao frequentemente associados commódulos Apache ou comblocos de host virtuais, que 
voce mesmo pode adicionar a configuraęao de host virtual em arquivos separados (ver a seęao 
“Adicionando um host virtual ao Apache”). 

A medida que sao encontrados erros e conteudo e servido, mensagens sobre essas atividades sao 
colocadas emarquivos indicados pelas entradas ErrorLog e CustomLog. Apartir das entradas 
mostradas aqui, esses registros sao armazenados nos diretórios /etc/httpd/logs/error_log e 
/etc/httpd/logs/access_log, respectivamente. Esses logs tambemestao vinculados ao 
diretório /var/log/httpd, assimvoce pode acessar o mesmo arquivo a partir dessa localizaęao 
tambem 

As diretivas DocumentRoot e ScriptAlias determinamonde o conteudo que e servido pelo 
servidor httpd e armazenado. Normalmente, voce coloca umarquivo index . html no diretório 
DocumentRoot (/var/www/html, por padrao) como pagina inicial e depois adiciona outros 
conteudos, conforme necessario. Adiretiva ScriptAlias diz ao daemon httpd que todos os Scripts 



solicitados a partir do diretório cgi-bin devemser encontrados no diretório /var/www/cgi-bin. 
Por exemplo, umcliente pode acessar um script localizado em /var/www/cgi-bin/script. cgi 
digitando uma URL, como http : //example . com/cgi-bin/script. cgi. 

Alemde localizaędes de arquivo, voce pode encontrar outras informaęóes no arquivo httpd. conf. 

Eis alguns exemplos: 

Listen 80 
User apache 
Group apache 

ServerAdmin root@localhost 
DirectoryIndex index.html index.html.var 
AccessFileName .htaccess 

Adiretiva Listen 8 0 diz para o httpd ouvir solicitaęóes de entrada na porta 80 (a porta padrao 
para o protocolo do servidor HTTP na internet). As diretivas User e Group dizempara o httpd rodar 
como apache tanto para o usuario como para o grupo. O valor de ServerAdmin 
(root@localhost, por padrao) e publicado emalgumas paginas web para informar aos usuarios para 
onde enviar um e-mail se houver problemas com o servidor. 

O DirectoryIndex lista os arquivos que httpd seryira se um diretório for solicitado. Por exemplo, 
se umnavegador solicitasse http: //host/whatever/, httpd veria se 

/var/www/html/whatever/index . html existe e o serviria emcaso afirmativo. Caso contrario, 
httpd procuraria index . html. var. Se esse arquivo nao pudesse ser encontrado, o conteudo do 
diretório seria exibido. 

Adiretiya AccessFileName diz para httpd usar o conteudo do arquivo .htaccess se ele existir 
em um diretório para ler configuraęóes que se aplicam ao acesso a esse diretório. Por exemplo, o 
arquivo pode ser utilizado para solicitar proteęao por senha para o diretório ou para indicar que o 
conteudo dele deve ser exibido de determinada maneira. Para esse arquivo funcionar, porem, um 
conteiner Directory (descrito a seguir) teria de ter AllowOverride aberto. 

Os seguintes conteineres Directory definemo comportamento quando o diretório-raiz (/) e o 
diretório /var/www/html sao acessados: 

<Directory /> 

Options FollowSymLinks 
AllowOverride Nonę 
</Directory> 

<Directory "/var/www/html"> 

Options Indexes FollowSymLinks 
AllowOverride Nonę 
Order allow,deny 
Allow from all 
</Directory> 



O primeiro conteiner Directory (/) indica que se httpd tentar acessar todos os arquivos no sistema 
de arquivos Linux, httpd tera permissao para seguir arquivos simbolicamente vinculados a outros 
arquivos (Options FollowSymLinks). Adiretiva AllowOverride Nonę impede que arquivos 
. htaccess sobrescrevam configuraęóes para esse diretório. Essas configuraęóes se aplicam a todas as 
subpastas que nao sao definidas emoutros conteineres Directory. 

O conteiner /var/www/html Directory tambem segue yinculos simbólicos e nao permite 
substituięóes. Ele temdiretivas Order e Allow (descritas anteriormente) que nao impedemqualquer 
acesso ao seryidor, mas podem ser modificadas para indicar que somente hosts selecionados podem 
acessar o diretório /var/www/html e seu conteudo. 

Se todas as configuraęóes que acabamos de descrever funcionarem para voce, voce pode comeęar a 
adicionar o conteudo que quiser aos diretórios var/www/html e var/www/cgi-bin. Urna razao 
pela qual voce pode nao estar satisfeito com a configuraęao padrao e que voce pode querer servir 
conteudo para varios dominios (como example . com, example . org e example . net). Para isso, 
e preciso configurar hosts virtuais. As maquinas virtuais, que sao descritas emmaior detalhe na próxima 
seęao, sao urna ferramenta conveniente (e quase essencial) para alterar o comportamento do servidor com 
base no endereęo dele ou no nome para o qual urna solicitaęao e dirigida. Opędes de configuraęao mais 
globais sao aplicadas a maquinas virtuais, mas podem ser substituidas por diretivas dentro do bloco 
VirtualHost. 

Adicionando um host virtual ao Apache 

O Apache suporta a criaęao de sites separados dentro de um mesmo servidor para manter o conteudo 
separado. Sites individuais sao configurados no mesmo servidor naquilo que e chamado de hosts virtuais. 

Hosts virtuais sao, na realidade, apenas urna maneira de ter o conteudo de varios nomes de dominio 
disponiyeis a partir do mesmo seryidor Apache. Em vez de precisar ter um sistema fisico para servir 
conteudo para cada dominio, voce pode servir conteudo para varios dominios a partir do mesmo sistema 
operacional. 

Um seryidor Apache que esta fazendo hospedagem yirtual pode ter varios nomes de dominio que sao 
conyertidos para o endereęo IP do seryidor. O conteudo que e seryido para um cliente web e baseado no 
nome usado para acessar o seryidor. 

Por exemplo, se um cliente solicitar ao seryidor o nome www. example . com, ele sera direcionado a 
um conteiner de host yirtual que tern seu ServerName configurado para responder a 
www. example . com. O conteiner forneceria a localizaęao do conteudo e possiyelmente diferentes logs 
de erros ou diretiyas Directory das configuraęóes globais. Dessa forma, cada maquina yirtual pode 
ser gerenciada como se ela estivesse em urna maquina separada. 

Para usar hospedagem yirtual baseada emnome, ative a diretiya NameVirtualHost. Entao, adicione 
quantos conteineres YirtualHost voce quiser. Yeja como configurar um host yirtual: 


nęao 




)is de ativar NameVirtualHost, seu DocumentRoot padrao (/var/www/html) nao e mais usado se 
§m acessa o servidor porendereęo IP ou algum nome que nao esta definido em um conteinervirtualHost. 
ez disso, o conteiner YirtualHost primeiro sera usado como a localizaęao padrao para o servidor. 


1 - No Fedora ou no RHEL, crie um arquivo chamado 

/etc/httpd/conf . d/example . org. conf usando este modelo: 

NameVirtualHost *:80 
<VirtualHcat *:80> 

ServerAdmin websias terSexawple. org 

ServerName vwv. example. org 

ServerAlias veb . example.org 

DocumentRoot /var/ww/html/exanple.org/ 

DirectoryIndex index.php index.html index.htm 
</VirtualHost> 

Este exemplo inclui as seguintes definięoes: 

■ Alinha NameVirtualHost diz ao Apache para determinar a partir de qual host virtual 

servir documentos combase no hostname fornecido pelo cliente HTTP. O * : 80 significa 
que as solicitaęóes para a porta 80 em qualquer endereęo IP serao tratadas dessa 
maneira. 

■ Da mesma maneira, a especificaęao * : 8 0 no bloco VirtualHost indica o endereęo e a 

porta a que esse host yirtual se aplica. Com yarios endereęos IP associados com seu 
sistema Linux, o * pode ser substituido por um endereęo IP espedfico. A porta e opcional 
para ambas as especificaęóes, NameVirtualHost e VirtualHost, mas sempre 
deve ser usada para evitar a interferencia emhosts virtuais SSL. 

■ As linhas ServerName e ServerAlias informamao Apache os nomes sob os quais 

esse host yirtual deve ser reconhecido; portanto, substitua-os pelos nomes apropriados 
para seu site. Ybce pode deixar a linha ServerAlias se nao tiver nenhumnome 
alternativo para o seryidor e pode especificar mais de um nome por linha 
ServerAlias outer varias linhas ServerAlias se voce tiver yarios nomes 
alternativos. 

■ O DocumentRoot especifica onde os documentos web (conteudo seryido por esse site) 

sao armazenados. Embora apresentado como um subdiretório que voce cria sob o 
DocumentRoot padrao (/var/www/html), muitas vezes sites sao anexados aos 
diretórios de usuarios especificos (como /home/chris/public_html), de modo 
que cada site possa ser gerenciado por umusuario diferente. 

2 - Como host habilitado, use apachectl para yerificar a configuraęao e depois fazer urna 
reinicializaęao graceful: 

# apachectl configtest 

Syntax OK 

# apachectl graceful 


Desde que voce tenha registrado o sistema com um seryidor DNS, umnavegador deve ser capaz de 
acessar esse site usando www. example . org ou web . example . org. Se isso funcionar, voce pode 
comeęar a adicionar outros hosts yirtuais ao sistema igualmente. 






Outra forma de ampliar o uso de seu site e permitir que multiplos usuarios compartilhem conteudo 
produzido por eles no servidor que voce administra. \foce pode permitir que usuarios adicionem o 
conteudo que eles quiserem compartilhar por meio de seu servidor web em um subdiretório dos 
diretórios deles, como descrito na próxima seęao. 


ta 

ter hosts virtuais individuais em arquivos separados e uma maneira conveniente de gerenciar hosts virtuais. Mas 
deve ter o cuidado de manter seu host primario virtual em um arquivo que sera lido antes dos outros, porque o 
eiro host virtual recebe solicitaęoes de nomes de sites que nao correspondem a nenhum em sua configuraęao. 
jm ambiente de hospedagem web comercial, e comum criar um host virtual padrao especial que contem uma 
sagem de erro indicando que nenhum site com esse nome foi configurado. 


Permitindo que os usuarios publiquem seu próprio conteudo web 

Nas situaęóes em que voce nao tern a capacidade de criar uma maquina virtual para cada usuario ao qual 
deseja fornecer espaęo na web, voce pode facilmente fazer uso do módulo mod userdir no Apache. 
Com esse módulo habilitado (que, por padrao, nao esta), o diretório public html no diretório inicial 
de cada usuario esta disponivel para a web emhttp : //servername/-username/. 

Por exemplo, um usuario chamado wtucker em www. example . org armazena conteudo web em 
/home/wtucker/public_html. Esse conteudo estara disponivel em 

http://www.example.org/~wtucker. 

Faęa essas alteraęóes no arquivo /etc/httpd/conf/httpd. conf para permitir que os usuarios 
publiquem conteudo da web a partir de seus próprios diretórios iniciais: 

1 - Modifique o bloco <IfModule mod_userdir . c> para desativar com um caractere de 
comentario as linhas UserDir disabled e UserDir public_html, de modo que 
ele apareęa da seguinte maneira (eu removi as linhas de comentario adicionais para maior 
clareza): 

<IfModule mod_userdir.c> 

# UserDir disabled 
UserDir public_html 

</IfModule> 

2 - Desative com um caractere de comentario o bloco de diretiva <Directory 
/home/*/public_html> e altere as configuraęóes que voce quiser. Essa e a forma 
como o bloco ficara: 

<Directory /home/*/public_html> 

AllowOverride Filelnfo AuthConfig Limit 

Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec 
<Limit GET POST OPTIONS> 






Order allow,deny 
Allow from all 
</Limit> 

<LimitExcept GET POST OPTIONS> 

Order deny,allow 
Deny from all 
</LimitExcept> 

</Directory> 

3 - Faęa seus usuarios criaremseus próprios diretórios public html emseus próprios 
diretórios iniciais. 

$ mkdir $HOME/public_html 

4 - Configure a permissao de execuęao para permitir que o daemon httpd acesse o diretório 
inicial: 

# chmod +x /home /home/* 

5 - Configure o contexto de arquivo do SELinux corretamente, de modo que o SELinux permita 
que o daemon httpd acesse o conteudo: 

# chcon -R --reference=/var/www/html/ /home/*/public__html 

6 - Defina o booleano SELinux para permitir que os usuarios compartilhem conteudo HTML a 
partir de seus diretórios iniciais: 

# setsebool -P httpd_enable_homedirs true 

7 - Reinicie ourecarregue o servięo httpd. 

Nesse ponto, apontando umnavegador web para http : //hostname/-user, voce deve 
ser capaz de acessar o conteudo colocado no diretório public html de umusuario. 

Protegendo seu trafego na web com SSL/TLS 

Todos os dados que voce compartilha a partir de seu site usando o protocolo HTTP padrao sao enviados 
em texto claro. Isso significa que qualquer um que pode ver o trafego em urna rede entre o servidor e seu 
cliente pode ver seus dados desprotegidos. Para garantir essas informaęóes, voce pode adicionar 
certificados a seu site (assim um cliente pode validar quemvoce e) e criptografar seus dados (assim 
ninguempode espionar sua rede e ver seus dados). 

Aplicaęóes de comercio eletrónico, como compras Online e operaęóes bancarias, sao geralmente 
criptografadas usando as especificaęóes Secure Sockets Layer (SSL) ou Transport Layer Security (TLS). 
ATLS e baseada na versao 3.0 das especificaęóes SSLe, portanto, sao de naturezas muito semelhantes. 
Devido a essa semelhanęa — e como o SSL e mais antigo — a sigla SSL costuma ser usada para se 
referir a ambas as variedades. Para conexóes de web, a conexao SSL e estabelecida primeiro e, entao, a 
comunicaęao HTTP normal e “tunelada” atraves dela. 



ta 

o a negociaęao SSL ocorre antes de qualquercomunicaęao HTTP, a hospedagem virtual baseada em nome (que 
re na camada HTTP) nao funciona facilmente com SSL Como consequencia, cada host SSL virtual que voce 
gura deve ter um unico endereęo IP. (Consulte o site do Apache para mais informaęóes: 

pd. apache . org/docs/vhosts/name-based. html.) 


Enąuanto voce esta estabelecendo urna conexao entre umcliente SSLe umservidor SSL, a criptografia 
assimetrica (chave publica) e usada para verificar as identidades e estabelecer os parametros e a chave 
de sessao. Umalgoritmo de criptografia simetrica, como DES ou RC4, e entao usado com a chave 
negociada para criptografar os dados que sao transmitidos durante a sessao. O uso de criptografia 
assimetrica durante a fasę de handshaking permite a comunicaęao segura, sem o uso de urna chave pre- 
compartilhada, e a criptografia simetrica e mais rapida e mais pratica para uso sobre os dados da sessao. 

Para o cliente verificar a identidade do servidor, este deve ter urna chave privada previamente gerada, 
bem como um certificado que contem a chave publica e informaęóes sobre o servidor. Esse certificado 
deve ser verificavel usando urna chave publica, que e conhecida pelo cliente. 

Os certificados sao geralmente assinados digitalmente por urna autoridade de certificaęao (CA) 
independente que verificou a identidade do solicitante e a validade da solicitaęao para ter o certificado 
assinado. Na maioria dos casos, a CA e urna empresa que fez um acordo com o fornecedor do navegador 
web para ter seu próprio certificado instalado e considerado confiavel por instalaęóes de cliente padrao. 
A CA entao cobre o operador do servidor pelos seus servięos. 

Autoridades de certificaęao comerciais variam em preęo, recursos e suporte ao navegador, mas lembre- 
se de que o preęo nao e sempre umindicador de qualidade. Algumas CAs populares sao a InstantSSL 

(http : //www. instantssl. com), a Thawte (http : //www. thawte . com) e a VeriSign 
(http : / /www . verisign . com). 

\bce tambem tern a opęao de criar certificados autoassinados, embora estes devam ser usados apenas 
para teste ou quando umnumero muito pequeno de pessoas estara acessando seu servidor e voce nao 
planeja ter certificados emvarias maquinas. Instruęóes para gerar um certificado autoassinado estao 
inclusas na seęao “Gerando urna chave SSLe um certificado autoassinado”. 

A ultima opęao e executar sua própria autoridade de certificaęao. Isso provavelmente só e pratico se 
voce tiver um pequeno numero de usuarios esperados e os meios para distribuir seu certificado CA para 
eles (incluindo ajuda-los a instalar em seus navegadores). O processo para a criaęao de urna CA e muito 
complexo para ser abordado neste livro, mas e urna alternativa interessante a geraęao de certificados 
autoassinados. 

As próximas seęóes descrevem como comunicaęóes HTTPS sao configuradas por padrao no Fedora e no 
RHELquando voce instala o pacote mod ssl. Depois disso, descrevo como melhor configurar 
comunicaęóes SSL gerando suas próprias chaves e certificados SSL para usar como servidor web 
(rodando em um sistema Fedora ou RHEL) configurado neste capitulo. 

Entendendo como o SSL e configurado 

Se voce tiver instalado o pacote mod ssl no Fedora ou no RHEL (o que e feito por padrao se voce 






instalou o grupo Web Server), um certificado autoassinado e uma chave privada sao criados. Isso permite 
que voce imediatamente use o protocolo HTTPS para se comunicar como servidor web. 

Embora a configuraęao padrao do mod ssl permita que voce tenha comunicaęóes criptografadas entre 
seu servidor web e seus clientes, pois o certificado e autoassinado, um cliente acessando seu site vai ser 
avisado de que o certificado nao e confiayel. Para comeęar a explorar a configuraęao de SSL para o 
seryidor web Apache, verifique se o pacote mod ssl esta instalado no seryidor que executa o seryięo 
Apache (httpd): 

# yum install mod_ssl 

O pacote inclui o módulo mod ssl necessario para implementar SSL em seu seryidor web 
(mod ssl. so) e umarquivo de configuraęao para seus hosts SSL: 

/etc/httpd/conf . d/ssl. conf. Ha muitos comentarios e configuraęóes nesse arquivo, incluindo 
o seguinte: 

LoadModule ssl_module modules/mod_ssl.so 
Listen 443 

<VirtualHost _default_:443> 

ErrorLog logs/ssl_error_log 
TransferLog logs/ssl_access_log 
LogLevel warn 
SSLEngine on 

SSLCertificateFile /etc/pki/tls/certs/localhost.crt 
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 
</VirtualHost> 

Das configuraędes globais no arquivo ssl. conf, o módulo mod ssl. so e carregado para fornecer 
recursos de SSL. O seryięo SSLtambeme configurado para ouvir na porta SSL padrao 443. 

E criado umbloco VirtualHost que faz comque mensagens de erro e mensagens de acesso sejam 
registradas em arquivos de log que sao separados dos logs padrao usados pelo seryidor 

(ssl_error_log e ssl_access_log no diretório / var/log/httpd/). O nivel de mensagens 
de log e configurado como warn e o SSLEngine e atiyado. 

No código de exemplo anterior, as duas ultimas linhas do bloco VirtualHost contema chave e as 
informaęóes do certificado. Como mencionado anteriormente, uma chave e gerada quando mod ssl e 
instalado e colocado no arquivo /etc/pki/tls/certs/localhost. ort. Um certificado 
autoassinado, /etc/pki/tls/certs/localhost. crt, e criado usando essa chave. Quando voce 
cria sua própria chave e certificado mais tarde, voce tera de substituir os yalores de 
SSLCertificateFile e SSLCertificateKeyFile nesse arquivo. 

Depois de instalar o pacote mod ssl e recarregar o arquivo de configuraęao, voce pode testar se o 
certificado padrao esta funcionando, seguindo estes passos: 

1 - Abra uma conexao como site de umnayegador web usando o protocolo HTTPS. Por 



exemplo, se voce estiver usando o Firefox no sistema onde o servidor web esta sendo 
executado, digite https : //localhost na caixa de localizaęao e pressione Enter. A 
Figura 17.2 mostra um exemplo da pagina que aparece. 



RA 17.2 


;ando um site SSL com um certificado padrao 


2 - Apagina mostrada na Figura 17.2 avisa que nao ha nenhuma maneira de verificar quem 
criou o certificado que voce esta aceitando. Como voce esta acessando o site por meio de 
um navegador no host local, voce pode clicar em Add Exception para permitir conex5es a 
esse site. \bce e avisado de que esta instruindo o Firefox a aceitar esse certificado. 

3 - Selecione Yiew para ver o certificado que foi gerado. Ele incluira seu hostname, 
informaęóes sobre quando foi emitido e quando expira o certificado e muitas outras 
informaęóes sobre a organizaęao. 

4 - Feche a janela e selecione Confirm Security Exception para aceitar a conexao. Agora voce 
deve ver sua pagina web padrao usando o protocolo HTTPS. Apartir de agora, seu 
navegador ira aceitar conexdes HTTPS para o servidor web usando esse certificado e 
criptografar todas as comunicaęóes entre o servidor e o navegador. 

Como voce nao quer que seu site assuste os usuarios, a melhor coisa a fazer e obter um certificado valido 
para usar comele. Apróxima melhor coisa a fazer e criar um certificado autoassinado que pelo menos 
inclua melhores informaęóes sobre seu site e sua organizaęao. A próxima seęao descreve como fazer 
isso. 

Gerando uma chave SSL e um certificado autoassinado 

Para comeęar a configurar o SSL, use o comando openssl, que e parte do pacote openssl, para gerar 
seu par de chaves publica e privada. Depois disso, voce pode gerar seu próprio certificado autoassinado 
para testar o site ou para usar internamente. 

L Se o pacote openssl nao estiver instalado, instale-o da seguinte forma: 

# yum install openssl 

2 - Gere uma chave privada RSA de 1024 bits e salve-a em um arquivo: 

# cd /etc/pki/tls/private 

# openssl genrsa -out server.key 1024 

# chmod 600 server.key 


ta 

pode usar um nome de arquivo diferente de server. key e deve fazer isso se pretende ter mais de um host 
em sua maquina (o que exige mais de um endereęo IP). Apenas certifique-se de especificar o nome correto na 
guraęao do Apache depois. 


Em ambientes de maior seguranęa, e uma boa ideia criptografar a chave adicionando o 







argumento -des3 depois do argumento genrsa na linha de comando openssl. Quando 
solicitado a informar urna senha, pressione Enter: 

# openssl genrsa -des3 -out server.key 1024 

3 - Se voce nao pretende ter seu certificado assinado ou se quiser testar sua configuraęao, gere 
umcertificado autoassinado e salve-o emumarquivo chamado server . crt no arquivo 

/etc/pki/tls/certs: 

# cd /etc/pki/tls/certs 

# openssl req -new -x509 -nodes -shal -days 365 \ 

-key /etc/pki/tls/private/server.key \ 

-out server.crt 

Country Name (2 letter codę) [AU]: US 

State or Province Name (fuli name) [Some-State]: NJ 

Locality Name (eg, city) []: Princeton 

Organization Name (eg, company) [Internet Widgits Pty 
Ltd]:TEST USE ONLY 

Organizational Unit Name (eg, section) []:TEST USE ONLY 
Common Name (eg, YOUR name) []:secure.example.org 
Email Address []:dom@example.org 

4 - Edite o arquivo /etc/httpd/conf . d/ssl. conf a fimde alterar a localizaęao da 
chave e do certificado para usar os que voce acabou de criar. Por exemplo: 

SSLCertificateFile /etc/pki/tls/certs/server.crt 
SSLCertificateKeyFile /etc/pki/tls/private/server.key 

5 - Reinicie ou recarregue o servidor httpd. 

6 - Abra https : / /localhost a partir de umnavegador local novamente e repita o 
procedimento para examinar e aceitar o novo certificado. 

Para uso interno ou de teste, um certificado autoassinado pode funcionar para voce. Mas para sites 
publicos, voce deve usar um certificado que e validado por urna autoridade certificadora (AC). O 
procedimento para fazer isso e mostrado a seguir. 

Gerando uma solicitaęao de assinatura de certificado (Certificate Signing Request -CSR) 

Se voce pretende ter seu certificado assinado por uma CA (incluindo uma que voce executa por conta 
própria), voce pode usar sua chave privada para gerar uma solicitaęao de assinatura de certificado 
(CSR): 

1 - Crie um diretório para armazenar o CSR. 

# mkdir /etc/pki/tls/ssl.csr 

# cd /etc/pki/tls/ssl.csr/ 

2 - Use o comando openssl para gerar o CSR. O resultado e umarquivo CSR no diretório 
atual chamado server .csr. Quando voce inserir a informaęao, o nome comumdeye 



corresponder ao nome que os clientes usarao para acessar o servidor. Certifique-se de 
configurar os outros detalhes corretamente para poder ser validado por uma CA 
independente. Alemdisso, se tiver inserido uma senha para sua chave, voce sera solicitado 
a inseri-la aqui para usar essa chave. 

# openssl req -new -key ../private/server.key -out 
server.csr 

Country Name (2 letter codę) [AU] :US 

State or Province Name (fuli name) [Some-State]:Washington 
Locality Name (eg, city) []:Bellingham 

Organization Name (eg, company) [Internet Widgits Pty 
Ltd]:Example Company, LTD. 

Organizational Unit Name (eg, section) []:Network 
Operations 

Common Name (eg, YOUR name) []:secure.example.org 
Email Address []:dom@example.org 

Please enter the following 'extra' attributes 
to be sent with your certificate reąuest 
A challenge password []: 

An optional company name []: 

3 - Yisite o site da autoridade assinante do certificado que voce escolher e solicite um 
certificado assinado. Em algum momento, o site da CA provavelmente pedira que voce 
copie e cole o conteudo de seu CSR em um formulario necessario para fazer a solicitaęao. 

4 - A CAira enviar-lhe o certificado, provavelmente via e-mail. Salve-o no diretório 
/etc/pki/tls/certs/ usando umnome baseado no site que voce esta hospedando — 
por exemplo, example . org. crt. 

5 - Altere o valor de SSLCertif icateFile no arquivo 

/etc/httpd/conf. d/ssl. conf para apontar para o novo arquivo CRT. Ou, se voce 
tiver varios hosts SSL, pode querer criar uma entrada separada (possivelmente emum 
arquivo . conf separado) parecida como seguinte: 

Listen 192.163.0.56:443 
<VirtualHcst *:443> 

ServerHarae secure.exaraple.org 

ServerAlias t--eib.exarapie.org 
Do curaentRcot /home/username/public_htnl/ 

DirectoryIndex ir.dex.php index.htral index.h , cm 
SSIEngine On 

SSLCertificateKeyFile /etc/pki/tls/private/server. 

key 

SSLCertificateFile /etc/pki/tls/cert3/example.org. 

crt 

</VirtualHcst> 


O endereęo IP mostrado na diretiva Listen deve ser substituido pelo endereęo IP publico que 
representa o host SSL que voce esta servindo. Lembre-se de que cada host SSL deve ter seu próprio 
endereęo IP. 



Solucionado problemas do servidorweb 

Emqualquer ambiente complexo, voce ocasionalmente tem problemas. Esta seęao inclui dicas para isolar 
e resolver os erros mais comuns que voce pode encontrar. 

Verificando erros de configuraęao 

Ocasionalmente, voce pode se deparar com erros de configuraęao ou problemas de script que impedem o 
Apache de iniciar ou impedem que arquivos espedficos sejamacesslveis. Amaioria desses problemas 
pode ser isolada e resolvida por meio de duas ferramentas fornecidas pelo Apache: o programa 
apachectl e o log de erro do sistema. 

Ao encontrar umproblema, primeiro utilize o programa apachectl como parametro conf igtest 
para testar a configuraęao. De fato, e urna boa ideia desenvolver o habito de executar esse programa 
sempre que voce fizer urna mudanęa de configuraęao: 

# apachectl configtest 

Syntax OK 

# apachectl graceful 

/usr/sbin/apachectl graceful: httpd gracefully restarted 

No caso de umerro de sintaxe, apachectl indica onde o erro ocorre e tambemfaz o melhor que ele 
pode para dar urna pista sobre a natureza do problema. \bce pode, entao, usar a opęao de reinicializaęao 
graceful (apachectl graceful) para instruir o Apache a recarregar sua configuraęao sem 
desconectar todos os clientes ativos. 


ta 

ęao de reinicializaęao graceful no apachectl testa automaticamente a configuraęao antes de enviar o 
de recarregar para o apache, mas ainda e uma boa ideia adquirir o habito de executar o teste de configuraęao 
ual depois de fazer qualquer mudanęa de configuraęao. 


Alguns problemas de configuraęao passampelos testes de sintaxe realizados por apachectl mas 
fazem com que o servidor HTTP se feche imediatamente depois de recarregar sua configuraęao. Se isso 
acontecer, use o comando taił para verificar o log de erro do Apache a firn de obter informaęóes uteis. 
Emsistemas Fedora e RHEL, o log de erro esta em /var/log/httpd/error . log. Emoutros 
sistemas, voce pode encontrar a localizaęao olhando para a diretiva ErrorLog na configuraęao do 
Apache. 

\bce pode encontrar uma mensagem de erro parecida com esta: 

[crit] (98)Address already in use: make_sock: could not bind to port 80 


Esse erro geralmente indica que algo mais esta ligado a porta 80 (o que nao e muito comum, a menos que 
voce tenha tentado instalar outro servidor web), que outro processo Apache ja esta emexecuęao 







(apachectl geralmente flagra isso) ou que voce instriiiu o Apache a ligar a mesma combinaęao de 
endereęo IP e porta em mais de um lugar. Meu amigo Richard disse que viu estudantes que instalaram o 
Skype no Linux de urna maneira que fez com que o Skype usasse a porta TCP 80, quando executado em 
segundo piano. 

\bce pode usar o comando netstat para ver a lista de programas (incluindo o Apache) com as portas 
TCP no estado LI STEN: 

# netstat -nltp 

Active Internet connections (only servers) 

Proto Local Address Foreign Address State PID/Prcgram name 
tcp 0.0.0.0:80 0.0.0.0:* LISTEM 2105/httpd 

A saida de netstat (que foi reduzida para caber aqui) indica que urna instancia do processo httpd 
comumID de processo de 2105 esta ouvindo (como indicado pelo estado LI STEN) conex5es para 
qualquer endereęo IP local (indicado por 0 . 0 . 0 . 0) na porta 80 (a porta HTTP padrao). Se um 
programa diferente estiver ouvindo a porta 80, ele e mostrado ai. \bce pode usar o comando ki 11 para 
encerrar o processo, mas se for algo diferente de httpd, voce tambemdeve descobrir por que ele esta 
sendo executado. 

Se voce nao vir nenhum outro processo ouvindo na porta 80, pode ser que voce, acidentalmente, instruiu 
o Apache a ouvir a mesma combinaęao de endereęo IP e porta em mais de um lugar. Tres diretivas de 
configuraęao podemser usadas para isso: BindAddress, Port e Listen: 

■ BindAddress — Permite que voce especifique umunico endereęo IP para ouvir ou voce pode 

especificar todos os endereęos IP usando um curinga *. \bce nunca deve ter mais de urna 
instruęao BindAddress emseuarquivo de configuraęao. 

■ Port — Especifica qual porta TCP ouvir, mas nao permite que voce especifique o endereęo IP. 

Port geralmente nao e usado mais de urna vez na configuraęao. 

■ Listen — Permite especificar um endereęo IP e urna porta a qual liga-lo. O endereęo IP pode ser 

na forma de um curinga e voce pode ter varias instruęóes Listen em seu arquivo de 
configuraęao. 

Para evitar confusao, geralmente e urna boa ideia usar apenas um desses tipos de diretiva. Dos tres, 
Listen e o mais flexivel, por isso e provavelmente o que voce mais vai querer usar. Umerro comum 
quando se utiliza Listen e especificar urna porta em todos os endereęos IP (* : 8 0), bemcomo a mesma 
porta de um endereęo IP especifico (1.2.3.4:80), o que resulta no erro a partir de makesock. 

Erros de configuraęao relacionados com SSL comumente resultam na inicializaęao incorreta do Apache. 
Certifique-se de que todos os arquivos de chave e certificado existem e de que eles estao no formato 
adequado (use openssl para examina-los). 

Para outras mensagens de erro, tente fazer urna pesquisa na web para ver se alguem encontrou o 
problema. Na maioria dos casos, voce pode encontrar urna soluęao dentro das primeiras 
correspondencias. 

Se nao estiver recebendo informaęóes suficientes no ErrorLog, voce pode configura-lo para registrar 



emlogmais informaęóes usando a diretiva LogLevel. As opęóes disponiveis para essa diretiva, em 
ordemcrescente de detalhamento, sao emerg, alert, crit, error, warn, notice, info e 
debug. Selecione apenas urna delas. Qualquer mensagemque e pelo menos tao importante quanto o 
LogLevel selecionado sera armazenada no ErrorLog. Emum servidor tipico, LogLevel esta 
configurado como warn. \bce nao deve configura-lo para qualquer valor menor do que crit e deve 
evitar deixa-lo configurado como debug, porque isso pode tornar o servidor lento e resultar emum 
ErrorLog muito grandę. 

Como ultimo recurso, voce tambempode tentar executar httpd -X -e debug manualmente para 
verificar se ha falhas ou outras mensagens de erro. O -X executa o httpd emprimeiro piano, enquanto 
-e debug exibe mensagens de nivel de depuraęao e superiores na tela. 

Erros de acesso proibido e erros internos do servidor 

Os dois tipos mais comuns de erros que voce pode encontrar ao tentar exibir paginas especificas em seu 
servidor sao erros de permissao e erros internos do servidor. Ambos os tipos de erros geralmente podem 
ser isolados usando as informaęóes do log de erros. Depois de fazer qualquer urna das alteraęóes 
descritas na lista a seguir para tentar resolver umdesses problemas, tente a solicitaęao novamente e 
verifique o log de erro para ver se a mensagem foi alterada (por exemplo, para mostrar que a operaęao 
foi concluida comsucesso). 


ta 

do tipo “File not found” (“Arquivo nao encontrado”) podem ser verificados da mesma maneira que “access 
dden” (“acesso proibido”) e “server internal errors” (“erros internos do servidor”). As vezes voce pode acharque 
ache nao esta olhando para onde voce pensa que ele esta, no caso de um arquivo especifico. Geralmente, o 
nho inteiro do arquivo aparece no log de erros. Certifique-se de que voce esta acessando o host virtual correto e 
que qualquerconfiguraęao de Alias que possa estardirecionandosua localizaęao para um lugarque voce nao 
ira. 


■ Permissoes de arquivo — O erro “File permissions prevent access” (“Permissóes de arquivo 
impedemo acesso”) indica que o processo apache esta executando como umusuario que nao e 
capaz de abrir o arquivo solicitado. Por padrao, httpd e executado pelo usuario apache e 
pelo grupo apache. Certifique-se de que a conta tern permissóes de execuęao no diretório e 
todos os diretórios acima dele, bemcomo permissóes de leitura sobre os próprios arquivos. 
Permissóes de leitura em um diretório tambem sao necessarias se voce quiser que o Apache gere 
umindice de arquivos. Veja a pagina man para chmod para mais informaęóes sobre como 
yisualizar e alterar as permissóes. 


ta 

lissóes de leitura nao sao necessarias para binarios compilados, tais como aqueles escritos em C ou C++, mas 
;m ser adicionadas com seguranęa a nao ser que haja a necessidade de manter o conteudo do programa em 









do. 


■ Acesso negado — Um erro “Client denied by server configuration” (“Cliente negado pela 

configuraęao do servidor”) indica que o Apache foi configurado para negar o acesso ao objęto. 
Verifique nos arquivos de configuraęao as seęóes Location e Directory que podemafetar o 
arquivo que voce esta tentando acessar. Lembre-se de que as configuraęóes aplicadas a um 
caminho tambem sao aplicadas a todos os caminhos abaixo dele. \bce pode substituir isso 
alterando as permissóes apenas para o caminho mais especifico para o qual voce deseja permitir 
acesso. 

■ Indice nao encontrado — O erro “Directory index forbidden by rule” (“Indice de diretório 

proibido por regra”) indica que o Apache nao pode encontrar um arquivo de indice com um nome 
especificado na diretiva Directory Index e foi configurado para nao criar um indice 
contendo urna lista de arquivos em um diretório. Certifique-se de que sua pagina de indice, se 
voce tiver urna, temumdos nomes especificados na diretiva DirectoryIndex relevante ou 
adicione urna linha Options Indexes a seęao Directory ou Location apropriada para 
esse objęto. 

■ Falha de script — Erros do tipo “Premature end of script headers” (“Firn prematuro de cabeęalhos 

de script”) podem indicar que um script esta falhando antes de terminar. Ocasionalmente, erros 
que causamisso tambem aparecemno log de erros. Ao utilizar suexec ou suPHP, esse erro 
tambem pode ser causado por umerro de posse oupermissóes de arquivo. Esses erros aparecem 
nos arquivos de log em /var/log/httpd. 

■ Erros do SELinux — Se as permissóes de arquivo estiverem abertas, mas as mensagens negando 

permissao aparecem em arquivos de log, o SELinux poderia estar causando o problema. Desative 
o SELinux temporariamente (setenf orce 0) e tente acessar o arquivo novamente. Se agora o 
arquivo estiver acessivel, reative o SELinux (setenforce l)e verifique contextos de 
arquivos e valores booleanos. Contextos de arquivos devem estar corretos para o httpd para 
ser capaz de acessar umarquivo. Umbooleano pode impedir que umarquivo seja servido a partir 
de um diretório montado remotamente ou impedir que urna pagina envie um e-mail ou faęa upload 
de umarquivo. Digite man httpd_selinux para obter detalhes sobre as definięóes de 
configuraęao do SELinux relacionadas com os seryięos httpd. 


Resumo 


O projeto de código-fonte aberto Apache e o servidor web mais popular. Embora o Apache ofereęa urna 
enorme flexibilidade, seguranęa e complexidade, um servidor web Apache basico pode ser configurado 
em poucos minutos no Fedora, no RHEL e na maioria das outras distribuięóes Linux. 

Este capitulo descreve os passos para instalar, configurar, proteger e solucionar problemas de um 
servidor web Apache basico. \foce aprendeu a configurar hospedagem virtual e proteger hosts SSL. \foce 
tambem aprendeu a configurar o Apache para permitir que qualquer conta de usuario no sistema publique 
conteudo a partir de seupróprio diretório public html. 





Continuando o tema da configuraęao do seryidor, no Capitulo 18, voce aprendera a configurar um 
servidor de FTP no Linux. Os exemplos ilustram como configurar um servidor de FTP usando o pacote 

vsf tpd. 


Bcercicios 


Os exercicios nesta seęao abordam temas relacionados a instalaęao e configuraęao de um servidor web 
Apache. Como de costume, recomendo que voce use um sistema Fedora ou o Red Hat Enterprise Linux de 
reserva para fazer os exercicios. Nao faęa esses exercicios emuma maąuina de produęao, porque eles 
modificam os arquivos de configuraęao e servięos do Apache e podem danificar servięos que estao 
atualmente configurados. Tente encontrar umcomputador emque a interrupęao dos servięos no sistema 
nao causara nenhum dano. 

Esses exercicios supoem que voce esta comeęando com urna instalaęao do Fedora ou do RHEL em que o 
seryidor Apache (pacote httpd) ainda nao esta instalado. 

Se voce empacar, as soluęóes para as tarefas sao mostrados no Apendice B. Essas soluęóes mostram urna 
abordagem para cada tarefa, embora no Linux, muitas vezes, haja varias maneiras de completar urna 
tarefa. 


1 - Apartir de um sistema Fedora, instale todos os pacotes associados como grupo Web 
Server. 

2 - Crie umarquivo chamado index . html no diretório designado para DocumentRoot no 
arquivo principal de configuraęao do Apache. O arquivo deve ter as palayras “My Own 
Web Server” (“Meu Próprio Seryidor Web”). 

3 - Inicie o seryidor web Apache e configure-o para iniciar automaticamente no momento da 
inicializaęao. Verifique se ele esta disponiyel a partir de umnayegador web no host local. 
(\bce deve ver as palayras “My Own Web Server” exibidas se ele estiyer funcionando 
corretamente.) 

4 - Use o comando netstat para ver as portas que o seryidor httpd esta ouyindo. 

5 - Tente se conectar ao seu seryidor web Apache a partir de um navegador que esta fora do 
sistema local. Se ele falhar, corrija quaisquer problemas que encontrar inyestigando o 
firewall, o SELinux e outros recursos de seguranęa. 

6 - Usando o comando openssl ou similar, crie sua própria chave RSApriyada e seu próprio 
certificado SSLautoassinado. 

7 - Configure o seryidor web Apache para usar sua chave e certificado autoassinado para 
servir conteudo seguro (HTTPS). 

8 - Use um nayegador web para criar urna conexao HTTPS com o seryidor web e ver o 
conteudo do certificado que voce criou. 

9 - Crie umarquivo chamado /etc/httpd/conf . d/example . org. conf que se 

transforma em hospedagem yirtual baseada emnome e cria urna maquina yirtual que: 




■ Ouve a porta 80 em todas as placas de rede 

■ Temumadministrador de servidor chamado j oe . example . org 

■ Temumnome de servidor de j oe . example . org 

■ Temum DocumentRoot de / var/www/html/example . org 

■ Temum DirectoryIndex que inclui pelo menos index.html 

Crie umarquivo index . html em DocumentRoot que contemas palavras “Welcome to 
the House of Joe” (“Bem-Vindo a Casa do Joe”). 

Adicione o texto joe . example . org ao finał da entrada localhost no arquivo 
/etc/hosts na maquina que esta executando o servidor web. Entao, digite 
http: / /joe . example . org na caixa de localizaęao de seu navegador. \foce devera ver 
“Welcome to the House of Joe” quando a pagina for exibida. 



CAPITUy] 


Configurando um 
servidor FTP 

NESTECAPITULO 

Aprendendo como o FTP funciona 

Instalando um servidorvsftpd 

Escolhendo as configuraęóes de seguranęa para o vsftpd 

Criando arquivos de configuraęao do vsftpd 

Executando clientes FTP 

O File Transfer Protocol (FTP) e um dos mais antigos protocolos existentes para compartilhar 

arquivos atraves de redes. Embora existam protocolos mais seguros para o compartilhamento de 
arquivos de rede, o FTP ainda costuma ser usado para disponibilizar arquivos gratuitamente na 
internet. 

Varios servidores FTP estao disponiveis no Linuxhoje emdia. Mas o usado por padrao como Fedora, o 
Red Hat Enterprise Linux e outras distribuięóes Linux e o Very Secure FTP Daemon (pacote vsf tpd). 
Este capitulo descreve como instalar, configurar, usar e proteger um servidor FTP usando o pacote 

vsf tpd. 


Entendendo o FTP 


O FTP opera emummodelo cliente/servidor. Um daemon de servidor FTP ouve solicitaęóes de entrada 
(na porta TCP 21) de clientes FTP. O cliente apresenta um login e urna senha. Se o servidor aceitar a 
informaęao de login, o cliente pode percorrer o sistema de arquivos de forma interativa, listar arquivos e 
diretórios e depois baixar (e, por vezes, subir) arquivos. 

O que torna o FTP inseguro e que tudo enviado entre o cliente e ele e feito em texto claro. O protocolo 
FTP foi criado em urna epoca em que a maioria das comunicaęóes entre computadores era feita por linhas 
dedicadas ou por ligaęóes discadas (dial-up), nas quais a criptografia nao era considerada algo critico. 

Se voce usar o FTP por meio de urna rede publica, alguem espionando a linha em qualquer lugar entre o 
cliente e o servidor seria capaz de ver nao apenas os dados que estao sendo transferidos, mas tambem o 




processo de autenticaęao (login e senha). 

Assim, o FTP nao era bom para compartilhar arquivos privados (use comandos SSH, como sf tp, sep 
ou rsync, se voce precisar fazer transferencias de arquivos privados e criptografados). Mas se voce 
estiver compartilhando documentos publicos, repositórios de software de código-fonte aberto ou outros 
dados abertamente disponiyeis, o FTP e urna boa escolha. Independentemente do sistema operacional que 
as pessoas usam, elas certamente terao um aplicativo de transferencia de arquivos FTP dispomvel para 
obter os arquivos que voce oferece a partir do servidor FTP. 

Quando os usuarios autenticam um servidor FTP em Linux, seus nomes de usuario e senhas sao 
autenticados com as contas padrao do Linux. Tambem ha urna conta especial nao autenticada utilizada 
pelo servidor FTP chamada anonymous. A conta anonymous pode ser acessada por qualquer pessoa, pois 
nao requer urna senha valida. Na yerdade, o termo servidor FTP anonimo e frequentemente usado para 
descrever um servidor FTP publico que nao requer (ou nem mesmo permite) autenticaęao de urna conta 
de usuario legitimo. 


ta 

ora a capacidade de fazer login no servidor vsf tpd usando urna conta de usuario regular Linux esteja ativada 
)adrao no Fedora e no Red Hat Enterprise Linux, se o SELinux estiver configu rad o no modo Enforcing, ele impedira 
s e transferencias de arquivos. Se quiser mantero SELinux no modo Enforcing, mas ainda permitirque faęa logins 
c, ha um booleano que voce pode mudar (ver o “Configurando a seęao SELinux para seu servidor FTP”) para 
litir logins de usuarios regulares. 


Após a fasę de autenticaęao (na porta de controle, a porta TCP 21), urna segunda conexao e feita entre o 
cliente e o servidor. O FTP suporta os tipos de conexao ativa e passiva. Com urna conexao de FTP ativa, 
o servidor envia dados de sua porta TCP 20 para urna porta aleatória que o seryidor escolhe acima da 
porta 1023 no cliente. Com FTP passiyo, e o cliente quem solicita a conexao passiva e solicita urna porta 
aleatória a partir do seryidor. 

Muitos nayegadores suportam o modo FTP passiyo, de modo que, se houver um firewall no cliente, ele 
nao bloqueara a porta de dados que o seryidor FTP poderia usar no modo ativo. Apoiar modo passiyo 
requer algum trabalho extra no firewall do seryidor para permitir conex5es aleatórias em portas acima de 
1023 no seryidor. A seęao “Abrindo seu firewall para FTP” mais adiante, neste capitulo, descreye o que 
voce precisa fazer para seu firewall Linux fazer tanto conexdes FTP passivas como ativas funcionarem 

Urna vez estabelecida a conexao entre o cliente e o seryidor, o diretório atual do cliente tambem e 
estabelecido. Para o usuario anonimo, o diretório /var/ftp e o diretório inicial do usuario. O usuario 
anonimo nao pode sair da estrutura de diretórios /var/f tp. Se um usuario regular, digamos joe, 
conectou-se ao seryidor FTP, /home/j oe seria o diretório atual de joe, mas joe seria capaz de ir para 
qualquer parte do sistema de arquivos para o qual ele tivesse permissao. 

Clientes FTP que usamlinha de comando (como os comandos lf tp e ftp) entram em um modo 
interativo depois de se conectarem com o seryidor. A partir do prompt que voce ve, e possiyel executar 
muitos comandos que sao semelhantes aqueles que voce usaria a partir do shell. Voce pode usar pwd 
para yer seu atual diretório, ls para listar o conteudo do diretório e cd para mudar de diretório. Depois 






de encontrar o arquivo desejado, voce pode usar os comandos get e put para baixar ou subir arquivos 
para o servidor, respectivamente. 

Com ferramentas graficas para acessar servidores FTP (como um navegador), voce digita a URL do site 
que deseja visitar (como ftp : //docs . example . com) na caixa de localizaęao do navegador. Se 
voce nao adicionar nenhum nome de usuario ou senha, urna conexao anonima e feita e o conteudo do 
diretório inicial do site e exibido. Clique nos links para diretórios a firn de mudar para esses diretórios. 
Clique nos links para arquivos a firn de exibir oubaixar os arquivos para o sistema local. 

Munido de algum conhecimento de como o FTP funciona, agora voce esta pronto para instalar um 
servidor FTP (pacote vsf tpd) em seu sistema Linux. 


Instalando o servidor FTP vsftpd 

Configurar o servidor Very Secure FTP requer apenas um pacote no Fedora, RHEL e outras distribuięóes 
Linux: vsftpd. Supondo que voce tenha urna conexao como repositório de software, para instalar 
vsf tpd basta digitar o seguinte como root: 

# yum install vsftpd 

Depois que o pacote vsf tpd esta instalado, eis alguns comandos que voce pode executar para se 
familiarizar como conteudo do pacote. Execute esse comando para obter algumas informaęóes gerais 
sobre o pacote: 

# rpm -qi vsftpd 


Packager : Fedora Project 

Vendor : Fedora Project 

URL : https://security.appspot.com/vsftpd.html 

Summary : Very Secure Ftp Daemon 

Description : vsftpd is a Very Secure FTP daemon. It was 

written 

completely from scratch. 

Se quiser obter mais informaęóes sobre vsftpd, siga a URLlistada para o site relacionado 
(https : //security. appspot. com/vsf tpd. html). \bce pode obter a documentaęao e 
informaęóes adicionais sobre as ultimas revis5es do vsftpd. 

\bce pode ver todo o conteudo do pacote vsf tpd (rpm -ql vsf tpd), ou apenas a documentaęao (- 
qd), ou apenas os arquivos de configuraęao (- qc). Para ver os arquivos de documentaęao do pacote 
vsftpd, use o seguinte: 

# rpm -qd vsftpd 





/usr/share/doc/vsftpd-2.3.4/EXAMPLE/INTERNET_SITE/README 

/usr/share/doc/vsftpd-2.3.4/EXAMPLE/PER_IP_CONFIG/README 

/usr/share/doc/vsftpd-2.3.4/EXAMPLE/VIRTUAL_HOSTS/README 
/usr/share/doc/vsftpd-2.3.4/EXAMPLE/VIRTUAL_USERS/README 

/usr/share/doc/vsftpd-2.3.4/FAQ 

/usr/share/doc/vsftpd-2.3.4/vsftpd.xinetd 
/usr/share/man/man5/vsftpd.conf.5.gz 
/ust/ share/man/man8/vsftpd.8.gz 

Na estrutura de diretórios /usr/share/doc/vsftpd-*/EXAMPLE ha arquivos de configuraęao 
inclusos para ajudar a configurar o vsf tpd de maneiras que sao apropriadas para um site da internet, 
sites commultiplos endereęos IP e hosts virtuais. O diretório /usr/share/doc/vsf tpd-* 
principal contem um FAQ (perguntas mais frequentes), dicas de instalaęao e informaęóes sobre a versao. 

As paginas man podem ter informaęóes mais uteis quando voce comeęar a configurar o servidor 
vsf tpd. Digite man vsf tpd. conf para ler sobre o arquivo de configuraęao e man vsf tpd para 
ler sobre o processo daemon. 

Para listar os arquivos de configuraęao, digite o seguinte: 

# rpm -qc vsftpd 

/etc/logrotate.d/vsftpd 
/etc/pam.d/vsftpd 
/etc/vsftpd/ftpusers 
/etc/vsftpd/user_list 
/etc/vsftpd/vsftpd.conf 

O principal arquivo de configuraęao e /etc/vsftpd/vsftpd. conf. Os arquivos ftpusers e 
user_list no mesmo diretório armazenaminformaęóes sobre contas de usuarios que ternrestrięóes de 
acesso ao servidor. O arquivo /etc/pam. d/vsftpd define como a autenticaęao e feita no servidor 
FTP. O arquivo /etc/logrotate . d/vsf tpd configura como os arquivos de log sao reciclados ao 
longo do tempo. 

Agora voce instalou o vsf tpd e deu urna rapida olhada em seu conteudo. O próximo passo e iniciar e 
testar o seryięo vsftpd. 


Iniciando o servięo vsftpd 


Nenhuma configuraęao e necessaria para carregar o servięo vsf tpd se voce quer apenas usar as 
configuraęóes padrao. Se voce iniciar o vsftpd como ele e entregue como Fedora, isso e o que voce 




tem: 


■ O servięo vsf tpd inicia o daemon vsf tpd, que roda em segundo piano. 

■ A porta padrao emque o servidor vsftpd ouve e a porta TCP 21. Por padrao, os dados sao 

transferidos para o usuario, depois que a conexao e feita, na porta TCP 20. A porta TCP 21 deve 
ser aberta no firewall para permitir que novas conex5es acessem o servięo. (Consulte a seęao 
“Protegendo seu servidor FTP” para obter detalhes sobre abertura de portas, sobre como 
possibilitar o acompanhamento de conex5es necessarias para FTP passivo e sobre definięao de 
outras regras de firewall relacionadas ao FTP.) 

■ O daemon vsf tpd le vsf tpd. conf para determinar os recursos que o servięo permite. 

■ Contas de usuario Linux (excluindo usuarios administrativos) e a conta de usuario anonimo (nao 

requer senha) podemacessar o servidor FTP. (Se o SELinux estiver no modo Enforcing, voce 
precisa definir um valor booleano para permitir aos usuarios regulares fazer login no servidor 
FTP. Consulte a seęao “Protegendo seu servidor FTP” para obter detalhes.) 

■ O usuario anonimo temacesso apenas ao diretório /var/ftp e seus subdiretórios. Um usuario 

comum comeęa com seu diretório inicial como o diretório atual, mas pode acessar qualquer 
diretório a que ele tenha permissao de acesso por meio de urna sessao de login normal ou SSH. 
Listas de usuarios nos arquivos /etc/vsftpd/user_list e / etc/vsftpd/ftpusers 
definem alguns usuarios administrativos e especiais que nao tem acesso ao servidor FTP (root, 
bin, daemon e outros). 

■ O usuario anonimo pode baixar os arquivos do servidor, mas nao envia-los. Um usuario comum 

pode fazer upload ou download de arquivos, combase empermissóes regulares do Linux. 

■ Mensagens de log detalhando o upload ou download de arquivos sao gravadas no arquivo 

/var/log/xferlogs. Essas mensagens de log sao armazenadas emumformato xferlog 
padrao. 

Se voce estiver pronto para iniciar o servidor usando os padróes acima descritos, os exemplos a seguir 
mostram como fazer isso. Se primeiro voce quiser alterar algumas configuraęóes, va para a seęao 
“Configurando o servidor FTP,” finalize suas configuraęóes e depois volte aqui para instruęóes sobre 
como ativar e iniciar seu servidor. 

Antes de iniciar o servięo vsf tpd, voce pode verificar se ele ja esta ou nao funcionando. No Fedora, 
voce faria o seguinte: 

# systemctl status vsftpd.service 

vsftpd.service - Vsftpd ftp daemon 

Loaded: loaded (/lib/systemd/system/vsftpd.service; disabled) 
Active: inactive (dead) 

CGroup: name=systemd:/system/vsftpd.service 

No Red Hat Enterprise Linux 6, voce precisa de dois comandos para ver a mesma informaęao: 



# service vsftpd status 
vsftpd is stopped 

# chkconfig —list vsftpd 

vsftpd 0:o£f l:off 2:cff 3:off 4:cff 5:cff 6:cff 

Emambos os exemplos acima, do Fedora e do RHEL, os comandos service chkconf ig mostramo 
estado systemctl como parado. Ybce tambempode ver que ele esta desabilitado no Fedora e 
desativado emcada mvel de execuęao para o RHEL. Desativado (of f) significa que o servięo nao sera 
automaticamente iniciado quando seu sistema inicializar. 

Para iniciar e ativar o vsf tpd no Fedora (e entao verificar o status), digite o seguinte: 

# systemctl start vsftpd.service 

# systemctl enable vsftpd.service 

ln -s '/lib/systemd/system/vsftpd.service ' 

'/etc/systemd/system/multi-user.target.wants/vsftpd.service' 

# systemctl status vsftpd.service 

vsftpd.service - Vsftpd ftp daemon 

Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled) 
Active: active (running) sińce Thu, 10 May 2012 23:22:08 -0400; 
lis ago 

Main PID: 29787 (vsftpd) 

CGroup: name=systemd:/system/vsftpd.service 

29787 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 

No Red Hat Linux, inicie e ative (habilite) o vsf tpd (e entao verifique o status), como segue: 

# service vsftpd start 

Starting vsftpd for vsftpd: [ OK ] 

# chJtconfig vsftpd on ; chlcconfig —list vsftpd 

vsftpd 0:off l:off 2:cn 3:on 4:on 5:on 6:off 

Agora, em qualquer sistema, voce pode verificar se o servięo esta sendo executado com o comando 

netstat: 

# netstat -tupln | grep vsftpd 

top 0 0 0.0.0.0:21 0.0.0.0:* LISTEK 29787/vsftpd 

Apartir da saida de netstat, voce pode ver que o processo vsftpd (ID de processo 29787) esta 
ouvindo (LISTEN) todos os endereęos IP para conex5es de entrada na porta 21 (0.0.0.0:21) do 
protocolo TCP (tcp). Urna maneira rapida de verificar se vsf tpd esta funcionando e colocar um 
arquivo no diretório /var/ftp e tentar abri-lo a partir de seunavegador na maquina local: 

# echo "Hello From Your New FTP Server" > /var/ftp/hello.txt 

A partir de um navegador no sistema local, digite o seguinte na caixa de localizaęao do Firefox ou outro 
navegador: 

ftp://localhost/hello.txt 

Se o texto Hello From Your New FTP Server (que significa: “Ola do SeuNoyo seryidor 



FTP”) aparecer no nayegador, o servidor vsftpd esta funcionando. Entao, tente novamente, substituindo 
localhost pelo endereęo IP de seu host ou o nome totalmente ąualificado do host, a partir de um 
navegador web emoutro sistema. Se isso funcionar, o servidor vsftpd esta acessivel ao publico. Caso 
contrario, o que e muito improvavel, consulte a próxima seęao, “Protegendo seu servidor FTP”. Essa 
seęao explica como abrir firewalls e modificar outros recursos de seguranęa para permitir acesso e 
tambem forma proteger seu servidor FTP. 


Protegendo seu servidor FTP 

Embora seja facil fazer um servidor FTP vsf tpd funcionar, isso nao significa que ele e plenamente 
acessivel de imediato. Se voce tern um firewall em seu sistema Linux, provavelmente ele esta bloqueando 
o acesso a todos os servięos em seu sistema, exceto aqueles que voce explicitamente permitiu. 

Se decidir que a configuraęao padrao do vsf tpd funciona para voce, como descrito na seęao anterior, 
voce pode faze-lo funcionar permitindo acesso adequado e fornecendo seguranęa para seu servięo 
vsf tpd. Para proteger seu servidor vsftpd, as próximas seęóes descrevem como configurar o firewall 
(iptables), TCPwrappers (hosts . allow e hosts . deny) e SELinux (booleanos e contextos de 
arquivos). 

Abrindo seu firewall para FTP 

Se tiver um firewall implementado em seu sistema, voce precisa adicionar regras de firewall que 
permitem solicitaęóes de entrada para seu site FTP e permitir que os pacotes retornem ao seu sistema em 
conex5es estabelecidas. No Fedora e no Red Hat Enterprise Linux, regras de firewall sao armazenadas 
no arquivo /etc/sysconfig/iptables e o servięo se chama iptables (RHEL) ou 
iptables.service (Fedora). Os módulos sao carregados no firewall a partir do arquivo 
/etc/sysconfig/iptables-config. 


ta 

Hhor trabalhar em seu firewall diretamente a partir de um console do sistema, se possivel, em vez de a partir de 
ogin remoto (como ssh), pois um pequeno erro pode bloquearvoce imediatamente, impedindo o acesso ao 
dor. Depois d isso, voce deve ir para o console paravoltarao servidore corrigiro problema. 


Ha algumas coisas que voce precisa adicionar a seu firewall para permitir o acesso a seu servidor FTP 
sem abrir o acesso a outros servięos. Primeiro, voce precisa permitir que o sistema aceite solicitaęóes na 
porta TCP 21; depois, precisa ter certeza de que o módulo de rastreamento de conexao esta carregado. 

Se voce estiver usando um firewall padrao, no comeęo as regras abrem o acesso a solicitaęóes de todos 
os seryięos proyenientes do host local e permitem a entrada de pacotes associados ou relacionados com 
conexdes estabelecidas. No meio, ha regras que abremportas para solicitaęóes de seryięos ja 
permitidos, tais como o seryięo Secure Shell (sshd na porta TCP 22). No finał das regras, ha geralmente 
urna regra finał que descarta (DROP) ourejeita (RE JECT) qualquer solicitaęao que nao foi 







explicitamente permitida. 

Para permitir o acesso publico a alguem solicitando seu servidor FTP, voce deve permitir novas 
solicitaędes na porta TCP 21. \foce geralmente adiciona a regra em algum lugar antes da regra DROP ou 
RE JECT. Aseguinte saida mostra umconteudo parciał do arquivo /etc/sysconf ig/iptables 
coma regra que permite o acesso ao seu servidor FTP emnegrito: 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 


-A 

INPUT 

-m 

State 

--State 

ESTABLISHED,RELATED -j ACCEPT 


-A 

INPUT 

-i 

lo -j 

ACCEPT 





-A 

INPUT 

-m 

State 

--state 

NEW -m 

tcp -p 

tcp --dport 22 -j 

ACCEPT 

-A 

INPUT 

-m 

state 

--state 

NEW -m 

tcp -p 

tcp --dport 21 -j 

ACCEPT 

-A 

INPUT 

-j 

REJECT 

--rej ect-with 

icmp-host-prohibited 


COMMIT 









Esse exemplo mostra que, para a tabela filter, o firewall aceita pacotes de conexoes estabelecidas, 
conex5es de hosts locais e quaisquer novas solicitaędes na porta TCP 22 (servięo SSH). Alinha que 
acabamos de adicionar (--dport 21) permite que qualquer pacotes emnovas conex5es coma porta 
TCP 21 sejamaceitos. 


ta 

portante tera linha established, related nas regras de firewall de iptables. Sem essa linha, os 
irios seriam capazes de se conectar a seus servięos de SSH (porta 22) e FTP (porta 21), mas nao seriam capazes 
3 comunicar depois disso. Assim, um usuario pode ser autenticado, mas nao ser capaz de transferir dados. 


A próxima coisa que voce tern a fazer e instalar o módulo de rastreamento de conexao FTP para ser 
carregado cada vez que o firewall inicia. Edite essa linha no inicio do arquivo 
/etc/sysconf ig/iptables-config para faze-la parecer como seguinte: 

IPTABLES_MODULES="nf_conntrack_ftp" 

Nesse ponto, voce pode reiniciar seu firewall (tendo em mente que um erro pode bloquea-lo se voce 
estiver conectado remotamente). Use umdos seguintes comandos para reiniciar o iptables: 

# service iptables restart 

ou 

# systemctl restart iptables.service 


Tente novamente acessar o servidor FTP a partir de um sistema remoto (usando um navegador web ou 







algumoutro cliente de FTP). 


Permitindo acesso FTP no TCP wrappers 

O recurso TCP wrappers no Linux permite que voce adicione informaęóes aos arquivos 
/etc/hosts . allow e /etc/hosts . deny para indicar quempode ou quemnao pode acessar os 
servięos selecionados. Nemtodos os servięos implementam TCP wrappers, mas vsftpd fazisso. 

Por padrao, os arquivos hosts . allow e hosts . deny estao vazios, o que nao impóe restrięóes 
sobre quempode acessar servięos protegidos por TCP wrappers. Mas se voce estiver bloqueando o 
acesso ao arquivo hosts . deny a todos os servięos que nao tenhamsido explicitamente permitidos 
(adicionando a linha ALL : ALL a hosts . deny), acrescentar urna linha como a seguinte ao inicio do 
arquivo /etc/hosts . allow permitira acesso ao servidor vsftpd: 

vsftpd: ALL : ALLOW 

Para mais informaęóes sobre como usar o TCP wrappers, consulte o Capitulo 25, “Protegendo o Linux 
emuma rede” ou a pagina man hosts.allow (digite man hosts . allow). 

Configurando o SELinux para seu servidor FTP 

Se o SELinux estiver configurado como Permissive ou Disabled, ele nao ira bloquear o acesso ao 
servięo vsf tpd de qualquer forma. Mas se o SELinux estiver no modo Enforcing, ha algumas quest5es 
como SELinux que poderiamfazer comque seu servidor vsf tpd nao se comportasse como voce 
gostaria. Use o seguinte código para verificar o estado do SELinux em seu sistema: 

# getenforce 

Enforcing 

# grep "'SELINUX= /etc/sysconfig/selinux 

SELINUX=enforcing 

O comando getenforce mostra como o SELinux esta atualmente configurado (aqui, esta no modo 
Enforcing). Avariavel SELINUX= em /etc/sysconf ig/selinux mostra como o SELinuxesta 
configurado quando o sistema inicializa. Se ele estiver no modo Enforcing, como e o caso aqui, verifique 
a pagina man f tpd_selinux para obter informaęóes sobre as configuraęóes do SELinux que podem 
afetar o funcionamento de seu servięo vsf tpd. Eis alguns exemplos de contextos de arquivo que devem 
ser configurados para o SELinux permitir que arquivos e diretórios sejamacessados por vsftpd: 

■ Para compartilhar conteudo de modo que ele possa ser baixado para clientes FTP, esse conteudo 
deve ser marcado com um contexto de arquivo public content t. Os arquivos criados no 
diretório /var/ftp ouseus subdiretórios herdamo contexto de arquivo 
public content t automaticamente. (Certifique-se de criar umnovo conteudo ou copiar 
conteudo existente para os diretórios /var/f tp. Mover os arquivos para esses diretórios pode 
nao mudar o contexto do arquivo corretamente.) 



■ Para permitir o upload de arquivos por usuarios anonimos, o contexto de arquivo no diretório de 

destino deve ser configurado como public content rw t. (Outras permissóes, booleanos 
SELinux e configuraęóes vsf tpd. conf devem ser definidos para que isso funcione bem) 

Se tiver arquivos na estrutura de diretórios /var/ftp que temos contextos de arquivo errados (o que 
pode acontecer se voce mover arquivos para la a partir de outros diretórios em vez de copia-los), voce 
pode alterar ou restaurar o contexto de arquivo sobre esses arquivos para que eles possam ser 
compartilhados. Por exemplo, para recursivamente alterar o contexto de arquivo do diretório 
/var/ftp/pub/stuff de modo que o conteudo possa ser lido a partir do servidor FTP atraves do 
SEFinux, digite o seguinte: 

# semanage fcontext -a -t public_content_t 
"/var/ftp/pub/stuff(/.*)?" 

# restorecon -F -R -v /var/ftp/pub/stuff 

Se quiser permitir que os usuarios tambem gravem em um diretório, assim como o leiam, voce precisa 
atribuir o contexto de arquivo public content rw t ao diretório no qual voce deseja permitir 
uploads. Esse exemplo instrui o SELinux a permitir o upload de arquivos no diretório 

/var/ftp/pub/uploads: 

# semanage fcontext -a -t public_content_rw_t "/var/ftp/pub/ 
uploads(/.*)?" 

# restorecon -F -R -v /var/ftp/pub/uploads 

Recursos de servidor FTP que sao considerados inseguros pelo SELinux tern booleanos que permitem 
que voce habilite ounao esses recursos. Eis alguns exemplos: 

■ Para permitir que os usuarios regulares sejam capazes de autenticar e ler e gravar arquivos e 

diretórios atrayes do servidor FTP, o booleano ftp home dir deve estar ativo. Esse e umdos 
booleanos de FTP mais comuns para ativar (ele esta desativado por padrao). Para ativa-lo 
permanentemente, digite o seguinte: 

# setsebool -P ftp_home_dir on 

■ Para o SELinux permitir que usuarios anonimos leiam e gravem arquivos e diretórios, voce precisa 

ativar o booleano allow_f tpd_anon_write: 

# setsebool -P allow_ftpd_anon_write on 

■ Para ser capaz de montar sistemas de arquivos NFS ou CIFS (Windows) compartilhados 

remotamente e compartilha-los a partir de seu servidor vsf tpd, voce precisa ativar os dois 
seguintes valores booleanos, respectivamente: 

# setsebool -P allow_ftpd_use_nfs on 

# setsebool -P allow_ftpd_use_cifs on 

Se alguma vez voce achar que nao pode acessar arquivos ou diretórios a partir de seu servidor FTP que 
voce acredita que deyeriamser acessiveis, tente desatiyar o SEFinuxtemporariamente: 



# setenforce 0 


Se voce puder acessar os arquivos ou diretórios com o SELinux agora no modo Permissive, coloąue o 
sistema de volta no modo Enforcing (setenforce 1). Agora, voce sabe que tern de voltar as suas 
configuraęóes do SELinux e descobrir o que esta impedindo o acesso. (Veja o Capitulo 24, “Aumentando 
a Seguranęa Linux com SELinux” para mais informaęóes sobre o SELinux). 

Relacionando as permissoes de arquivos Linux com o vsftpd 

O servidor vsf tpd depende de permissóes de arquivos padrao do Linux para permitir ou negar acesso 
a arquivos e diretórios. Como seria de se esperar, para um usuario anónimo ver oubaixar umarquivo, 

pelo menos a permissao de leitura deve estar aberta para other (-r--). Para acessar um 

diretório, pelo menos a permissao de execuęao deve estar ativada para other (-x). 

Para contas de usuarios regulares, a regra geral e que, se um usuario pode acessar um arquivo a partir do 
shell, esse usuario pode acessar o mesmo arquivo de um servidor FTP. Assim, normalmente, os usuarios 
regulares devem pelo menos ser capazes de baixar (get) e subir (put) arquivos de/para seus próprios 
diretórios iniciais, respectivamente. 

Depois que as permissóes e outras provisóes de seguranęa estao definidas para seu servidor FTP, ha 
outras configuraęóes que voce deve querer considerar para seu servidor FTP. 

Configurando seu servidor FTP 

Amaioria das configuraęóes do servięo vsftpd e feita no arquivo /etc/vsf tpd/vsf tpd. conf. 
Exemplos de vsf tpd. conf para diferentes tipos de sites estao inclusos no diretório 
/usr/share/doc/vsftpd-*. Dependendo de como voce quer usar seu site FTP, as próximas 
seęóes discutem algumas maneiras de configurar o servidor FTP. 

Fembre-se de reiniciar o servięo vsftpd depois de alterar qualquer configuraęao. 


Configurando o acesso do usuario 

O servidor vsf tpd vemcomo usuario anónimo e todos os usuarios do Finux (os locais listados no 
arquivo /etc/passwd) configurados para acessar o servidor. Isso se baseia nas seguintes 
configuraęóes de vsftpd. conf: 

anonymous_enable=YES 

local_enable=YES 

Como observado anteriormente, apesar da configuraęao local_enable, na yerdade o SEFinux vai 
impedir que usuarios do vsf tpd se autentiqueme transfiramdados. Tirar o SEFinux do modo Enforcing 
ou definir o booleano correto permite que contas locais faęamlogin e transfiramdados. 





Ha empresas de servidor web que permitem aos usuarios usar FTP para carregar conteudo que e usado 
nos próprios servidores dos usuarios web. Emalguns casos, os usuarios tem contas somente FTP, o que 
significa que eles nao podem fazer login em um shell, mas podem fazer login via FTP para gerenciar seu 
conteudo. Criar urna conta de usuario que nao temshell padrao (na verdade, /sbin/nologin) e a 
maneira como voce pode impedir que um usuario faęa login em um shell, mas ainda permitir acesso FTP. 
Por exemplo, a entrada em/ etc/passwd para a conta somente FTP do usuario bill pode ser algo como 
o seguinte: 

bill:x:1000:1000:Bill Jones:/home/chris:/sbin/nologin 

Coma conta de usuario configurada com / sbin/nologin como o shell padrao, quaisquer tentativas 
de login a partir de umconsole ou via ssh como o usuario bill sera negada. Mas enquanto bill tiver 
urna senha, e urna conta de acesso local ao servidor FTP estiver habilitada, bill deve ser capaz de 
logar-se no servidor FTP por meio de um cliente FTP. 

Nem todo usuario com urna conta no sistema Linux tem acesso ao servidor FTP. A configuraęao 
userlist_enable=YES no arquivo vsftpd. conf diz para negar acesso ao servidor FTPatodas 
as contas listadas no arquivo /etc/vsf tpd/user_list. Essa lista inclui os usuarios 
administrativos root, bin, daemon, adm, lp e outros. Yfoce pode adicionar outros usuarios a essa 
lista aos quais voce gostaria de negar acesso. 

Se voce alterar userlist_enable para NO, o arquivo user_list torna-se urna lista comapenas 
os usuarios que tem acesso ao servidor. Emoutras palavras, configurar userlist_enable=NO, 
remover todos os nomes de usuario do arquivo user_list e acrescentar os nomes de usuario chris, 
j oe e mary a esse arquivo faz comque o servidor permita que somente esses tres usuarios faęamlogin 
no servidor. 

Independentemente de como o valor de userlist enable esta configurado, o arquivo 
/etc/vsf tpd/f tpusers sempre inclui usuarios que nao tem acesso ao servidor. Assimcomo o 
arquivo userlist_enable, o arquivo f tpusers inclui urna lista de usuarios administrativos. Yfoce 
pode adicionar mais usuarios a esse arquivo se quiser que o acesso FTP lhes seja negado. 

Urna forma de limitar o acesso de usuarios com contas regulares em seu sistema e usar as configuraęóes 
chroot. Eis alguns exemplos de configuraęóes chroot: 

chroot_local_user=YES 

chroot_list_enable=YES 

chroot_list_file=/etc/vsftpd/chroot_list 

Ativando as configuraęóes mostradas, voce pode criar urna lista de usuarios locais e adiciona-los ao 
arquivo /etc/vsf tpd/chroot_list. Depois que umdesses usuarios faz login, ele deve ser 
impedido de ir a lugares no sistema que estejamfora da estrutura do diretório inicial dele. 

Se uploads para o servidor FTP forem permitidos, os diretórios em que um usuario tentar subir arquivos 
devem ser gravaveis por esse usuario. Mas os uploads podem ser armazenados comumnome que nao o 
do usuario que enviou o arquivo. Esse e um dos recursos discutidos a seguir, na seęao “Permitindo 
upload”. 



Permitindo upload 

Para permitir qualquer forma de gravaęao no servidor vsf tpd, voce deve ter write_enable=YES 
configurado no arquivo vsf tpd. conf (o que esta, por padrao). Por isso, se contas locais estiverem 
habilitadas, os usuarios podem fazer login e comeęar imediatamente a fazer upload de arquivos para seus 
próprios diretórios iniciais. Mas usuarios anonimos nao tema capacidade de fazer upload de arquivos 
por padrao. 

Para permitir uploads anonimos com vsftpd, voce deve ter a primeira opęao no exemplo de código a 
seguir e pode querer a segunda linha de código tambem (ambas podem ser ativadas removendo o 
caractere de comentario do arquivo vsftpd. conf). O primeiro permite que usuarios anonimos faęam 
upload de arquivos, o segundo lhes permite criar diretórios: 

anon_upload_enable=YES 

anon_mkdir_write_enable=YES 

O próximo passo e criar um diretório onde os usuarios anonimos podem gravar. Qualquer diretório sob o 
diretório /var/ftp, que ternpermissóes de gravaęao para o usuario ftp, o grupo ftp ou other 
pode ser gravado por um usuario anónimo. Urna coisa comum e criar um diretório de uploads com 
permissao aberta para gravaęao. Eis alguns exemplos de comandos para executar no servidor: 

# mkdir /var/ftp/uploads 

# chown ftp:ftp /var/ftp/uploads 

# chmod 775 /var/ftp/uploads 

Desde que o firewall esteja aberto e booleanos SELinux estejamconfigurados corretamente, um usuario 
anónimo pode usar cd para mudar para o diretório uploads e transferir umarquivo do sistema local do 
usuario para o diretório uploads. No servidor, o arquivo pertenceria ao usuario ftp e ao grupo ftp. As 
permissóes configuradas no diretório (775) permitiriam a voce ver os arquivos que foram emtiados, mas 
nao altera-los ou substitui-los. 

Urna razao para permitir FTP anónimo e, entao, habilita-lo para uploads anonimos, e permitir que as 
pessoas que voce nao conhece enviem arquivos para a pasta de uploads deles. Como qualquer umque 
pode encontrar o servidor pode gravar nesse diretório, alguma forma de seguranęa precisa existir. Yhce 
quer evitar que um usuario anónimo veja arquivos emtiados por outros usuarios, pegue arquivos ou 
exclua arquivos enviados por outros usuarios anonimos de FTP. Urna forma de seguranęa e o recurso 
chown do FTP. 

Ao definir os dois seguintes valores, voce pode permitir uploads anonimos. O resultado dessas 
definięóes e que quando um usuario anónimo faz upload de um arquivo, a posse desse arquivo e 
imediatamente atribuida a um usuario diferente. O seguinte e umexemplo de algumas configuraęóes 
chown que voce pode colocar emseu arquivo vsftpd. conf para usar como diretório de upload 
anónimo: 

chown_uploads=YES 
chown username=joe 



Se um usuario anonimo fizesse upload de umarquivo depois de vsftpd ter sido reiniciado comessas 
configuraęóes, a posse sobre o arquivo enviado seria do usuario j oe e do grupo ftp. As permissóes 
seriamde leitura/gravaęao para o proprietario e nada os outros (rw-). 

Ate agora, voce viu as opęóes de configuraęao para recursos individuais em seu servidor vsf tpd. Ha 
alguns conjuntos de variaveis vsf tp . conf que podemfuncionar juntos de maneiras que seriam 
adequadas para certos tipos de sites FTP. A próxima seęao contem um desses exemplos, representados 
por umarquivo de configuraęao vsf tpd. conf de exemplo que vemcomo pacote vsf tpd. Esse 
arquivo pode ser copiado de um diretório de arquivos de exemplo para o arquivo 
/etc/vsf tpd/vsf tpd. conf, para uso comum servidor FTP que esta disponivel na Internet. 

Configurando vsftpd para a internet 

Para compartilhar com seguranęa arquivos de seu servidor FTP na internet, voce pode bloquear seu 
servidor, limitando-o a somente permitir downloads e apenas de usuarios anonimos. Para iniciar com 
urna configuraęao que e projetada para compartilhar arquivos com seguranęa vsf tpd pela internet, faęa 
um backup do seuarquivo /etc/vsf tpd/vsf tpd. conf atual e copie esse arquivo para substituir 

seu vsftpd. conf: 

/usr/share/doc/vsftpd-*/EXAMPLE/INTERNET_SITE/vsftpd.conf 

Os paragrafos a seguir descrevemo conteudo desse vsftpd. conf. As configuraęóes na primeira 
seęao definemos direitos de acesso ao servidor: 

# Access rights 
anonymous_enable=YES 
local_enable=NO 
write_enable=NO 
anon_upload_enable=NO 
anon_mkdir_write_enable=NO 
anon_other_write_enable=NO 

Ativar anonymous_enable (YES) e desativar local_enable (NO) assegura que ninguempode 
fazer logon no servidor FTP usando urna conta de usuario Linux regular. Todos devem vir pela conta 
anonima. Ninguempode fazer upload de arquivos (write_enable=NO). Portanto, o usuario 
anonymous nao pode fazer upload de arquivos (anon_upload_enable=NO), criar diretórios 
(anon_mkdir_write_enable=NO) nem gravar no servidor 
(anon_other_write_enable=NO). Eis as configuraęóes de seguranęa: 

# Security 

anon_world_readable_only=YES 
connect_from_port_2 0=YES 
hide_ids=YES 
pasv min port=50000 




pasv max_port= 60 O O O 


Como o daemon vsftpd pode ler arquivos atribmdos ao usuario e grupo ftp, configurar 
anon_world_readable_only=YES garante que usuarios anonimos serao capazes de ver arquivos 

emque o bit de permissao de leitura esta ativado para other (-r--), mas nao grava arquivos. 

A configuraęao connect_f rom_port_2 0=YES fornece ao daemon vsf tpd umpouco mais de 
permissao para enviar dados da maneira como umcliente pode solicitar, permitindo comunicaęóes de 
dados no estilo PORT. Usar hide_ids=YES oculta as permissóes reais configuradas emarquivos de 
tal modo que, para o usuario que acessar o site FTP, tudo parecera pertencer ao usuario ftp. As duas 
configuraęóes pasv restringemo intervalo de portas que podemser utilizadas comFTP passivo (no qual 
o servidor pega urna porta de maior numero para enviar dados) a um numero entre 50000 e 60000. 

Apróxima seęao contemrecursos do servidor vsftpd: 

# Features 

xferlog_enable=YES 
ls_recurse_enable=NO 
ascii_download_enable=NO 
async_abor_enable=YES 

Comxferlog_enable=YES, todas as transferencias de arquivos de e para o servidor sao registradas 
no arquivo /var/log/xferlog. Configurar ls_recurse_enable=NO impede que os usuarios 
listem recursivamente o conteudo de um diretório FTP (em outras palavras, impede o tipo de lista que 
voce pode obter com o comando 1 s -R ), porque, em um site de grandę porte, isso poderia drenar 
recursos. Desabilitar downloads de ASCII obriga todos os downloads a estaremno modo binario 
(impedindo que os arquivos sejamtraduzidos em ASCII, o que e inadequado para arquivos binarios). 

A configuraęao async_abor_enable=YES garante que alguns clientes FTP que poderiam travar ao 
abortar urna transferencia nao travem 

As definięóes a seguir temumimpacto sobre o desempenho: 

# Performance 
one_process_model=YES 
idle_session_timeout=12 0 
data_connection_timeout=30 0 
accept_timeout=60 
connect_timeout=60 
anon_max_rate=5 00 0 0 

Com one_process_model=YES configurado, o desempenho pode melhorar, porque vsftpd 
carregara umprocesso por conexao. Reduzir o idle session timeout do padrao 300 segundos 
para 120 segundos faz comque clientes FTP que estao ociosos ha mais de 2 minutos sejam 
desconectados. Entao, menos tempo e gasto no gerenciamento de sessóes FTP que nao estao mais emuso. 
Se a transferencia de dados parar por mais de data_connection_timeout segundos (300 
segundos aqui), a conexao com o cliente e derrubada. 



A configuraęao accept timeout de 60 segundos permite umminuto para urna conexao PASV ser 
aceita pelo cliente remoto. O connect timeout configura ąuanto tempo umcliente remoto tempara 
responder a uma solicitaęao para estabelecer uma conexao de dados no estilo PORT. Limitar a taxa de 
transferencia de 50000 (bytes por segundo) com anon_max_rate pode melhorar o desempenho geral 
do seryidor, limitando a ąuantidade de largura de banda que cada cliente pode consumir. 


Usando clientes FTP para se conectar ao servidor 

Ha muitos programas clientes que vem com Linux que voce pode usar para se conectar ao seryidor FTP. 
Se voce simplesmente quer fazer um download anonimo de alguns arquivos de um seryidor FTP, seu 
navegador Firefox oferece uma interface facil para fazer isso. Para interaęóes mais complexas entre seu 
cliente e seryidor FTP, ha clientes de linha de comando FTP que voce pode usar. A seęao a seguir 
descreve algumas dessas ferramentas. 

Acessando um servidor RP a partir do Firefox 

O navegador Firefox oferece uma maneira rapida e facil de testar o acesso ao seu seryidor FTP ou para 
acessar qualquer seryidor FTP publico. Em seu próprio sistema, escreva ftp://localhost na caixa de 
localizaęao. Se o seryidor estiyer acessiyel, voce deve ver algo semelhante ao exemplo mostrado na 
Figura 18.1. 
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;ando um servidor FTP a partir do Firefox 


Para efetuar login em um servidor FTP como um usuario especifico a partir do Firefox, voce pode 
preceder o nome do host coma notaęao username : password@. Por exemplo: 

ftp://chris:MypassWd5@localhost 

Se fornecer o nome de usuario e senha corretamente, voce deve ver imediatamente o conteudo de seu 
diretório inicial. Cliąue nas pastas para abri-las. Cliąue emumarquivo para baixa-lo ou visualiza-lo. 

Acessando um servidor RP com o comando Iftp 

Para testar seu servidor FTP a partir da linha de comando, voce pode usar o comando lf tp. Para 
instalar o comando lf tp no Fedora ou no RHEL, digite o seguinte na linha de comando: 

# yum install lftp 

Se voce usar o comando lftp comapenas o nome do servidor FTP que voce esta tentando acessar, o 
comando tenta se conectar ao servidor FTP como usuario anonimo. Adicionando -u nome_de_usuario, 
voce pode digitar a senha do usuario quando solicitado e ter acesso ao servidor FTP como o usuario que 
voce conectado. 

Depois de adicionar suas informaęóes de usuario e senha, voce recebe umprompt lftp pronto para 
voce comeęar a digitar comandos. Aconexao como servidor e feita quando voce digita seuprimeiro 
comando. \bce pode usar os comandos para mover o servidor FTP e entao usar os comandos de get e 
put para download e upload de arquivos. 

O exemplo a seguir mostra como usar os comandos que acabamos de descrever. Ele assume que o 
servidor FTP (e as medidas de seguranęa associadas) foi configurado para permitir aos usuarios locais 
se conectarem, lereme gravaremarquivos: 




# lftp -u Chris localhost 

Password: 


lftp chrisSiocalhost:~> pwd 
ftp://chri3@localho3t/%2Fhome/chris 
lftp chrisSiocalhost:~> cd stuff/state/ 
lftp chris3localhost:~/stuff/state> ls 

-rw-r—r— 1 13597 13597 1394 Oct 23 2009 enrolled-20091012 

-rw-r—r— 1 13597 13597 514 Oct 23 2009 enrclled-20091013 

lftp chrisSiocalhost:~/stuff/state> !pwd 
/root 

lftp chrisSiocalhost:~/stuff/state> get survey-20091023.txt 
3108 bytes transferred 

lftp chrisSiocalhost:~/stuff/state> put /etc/hosts 

201 bytes transferred 

lftp chrisSiocalhost:~/stuff/state> ls 

-rw-r—r— 1 13597 13597 1394 Oct 23 2009 enrclled-20091012 

-rw-r—r— 1 13597 13597 514 Oct 23 2009 enrclled-20091013 

-rw-r—r— 100 201 May 03 20:22 hosts 

lftp chris3localhost:~/stuff/state> !ls 

anaccnda-ks.cfg bin install.lcg 

dog Pictures sent 

Downlcads Public survey-20091023.txt 

lftp chrisSiocalhost:~/stuff/state> quit 

Depois de fornecer o nome do usuario (-u chris), lftp solicitara a senha do usuario chris. Digitar 
pwd mostra que Chris esta conectado ao host local e que /home/chris e o diretório atual. Assim 
como voce faria a partir de um shell de linha de comando do Linux, voce pode usar cd para mudar para 
outro diretório e 1 s para listar o conteudo desse diretório. 

Para ter os comandos que voce executa interpretados pelo sistema cliente, voce pode simplesmente 
colocar um ponto de exclamaęao (!) na frente de um comando. Por exemplo, ! pwd mostra que o 
diretório atual no sistema que iniciou o lftp e /root. E bom saber isso, porque se voce receber um 
arquivo do servidor sem especificar seu destino, ele vai para o diretório atual do cliente (neste caso, 
/root). Outros comandos que voce pode executar para que sejaminterpretados pelo sistema cliente sao 
! cd (para mudar de diretório) e ! ls (para listar os arquivos). 

Supondo que voce tenha permissao de leitura sobre um arquivo no servidor e permissao de gravaęao a 
partir do diretório atual no sistema iniciador, voce pode usar o comando get para baixar umarquivo do 
servidor (get survey-20091023 . txt). Se tiver permissao de gravaęao e upload no diretório atual 
no servidor, voce pode usar put para copiar umarquivo para o servidor (put /etc/hosts). 

Executar um comando ls mostra que o /etc/hosts foi copiado para o servidor. Executar o comando 
! ls permite que voce veja que o arquivo survey- 20091023 . txt foi transferido do servidor para 
o sistema iniciador. 


Usando o cliente gFTP 

Muitos outros clientes FTP tambem estao disponiveis no Linux. Outro cliente de FTP que voce pode 
tentar e gFTP. O cliente gFTP fornece urna interface que permite ver ambos os lados, local e remoto, de 
sua sessao de FTP. Para instalar gFTP no Fedora e no Red Hat Enterprise Linux, execute o seguinte 
comando para instalar o pacote gf tp: 


# yum install gftp 




Para iniciar gFTP, carregue-o a partir do menu de aplicativos ou execute gf tp & a partir do shell. Para 
usa-lo, digite a URL do servidor FTP a que voce deseja se conectar, digite o nome de usuario que voce 
deseja usar (como anonymous) e pressione Enter. A Figura 18.2 mostra umexemplo de gFTP sendo usado 
para se conectar a umdiretório de documentaęao no site ftp : //kernel. org. 
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mte FTP do gFTP permite que voce veja os dois lados de urna sessao FTP. 


Para percorrer o site FTP a partir de gFTP, basta clicar duas vezes em pastas (tal como faria a partir de 
urna janela do gerenciador de arquivos). Os caminhos completos para o diretório local (a esquerda) e o 
diretório remoto (a direita) sao mostrados acima das listagens de arquivos e pastas abaixo. 

Para transferir um arquivo do lado remoto para o lado local, selecione o arquivo que voce quer a direita 
e, entao, clique na seta no meio da tela apontando para a esquerda. Observe o progresso da transferencia 
de arquivos a partir das mensagens na parte inferior da tela. Quando a transferencia for conclulda, voce 
vera o arquivo aparecer no painel esquerdo. 

\bce pode gravar o endereęo para se conectar a um site FTP na forma de umbookmark. Esse endereęo e 
adicionado a um conjunto de bookmarks que ja estao armazenados no menu Bookmarks. \bce pode 
selecionar sites da lista para experimentar o gFTP. A maioria dos sites e para distribuięóes Linux e 
outros sites de software de código-fonte aberto. 


Resumo 


Configurar um servidor FTP e urna maneira facil de compartilhar arquivos em urna rede TCP. The Very 
Secure FTP Daemon (pacote vsf tpd) esta disponlvel para o Fedora, o Red Hat Enterprise Linux e 
outros sistemas Linux. 

Um servidor vsf tpd padrao permite a usuarios anónimos baixar arquivos do seryidor e a usuarios 
regulares do Linux fazer o upload ou download de arquivos (desde que algumas configuraęóes de 
seguranęa sejam alteradas). Nayegar por um seryidor FTP e semelhante a navegar por um sistema de 
arquivos Linux. \bce se move para cima e para baixo na estrutura de diretório para encontrar o conteudo 
desejado. 

Ha clientes FTP graficos e clientes baseados emtexto. Um cliente baseado emtexto popular para Linux e 
o lf tp. Quanto a clientes FTP graficos, voce pode usar umnavegador web comum, como o Firefox, ou 
clientes FTP dedicados, como gFTP. 

Seryidores FTP nao sao a unica maneira de compartilhar arquivos em urna rede de Linux. O seryięo 
Samba fornece urna maneira de compartilhar arquivos em urna rede de modo que o diretório do Linux 
compartilhado parece um diretório compartilhado a partir de um sistema Windows. O Capitulo 19 
descreye como usar o Samba para oferecer o compartilhamento de arquivos no estilo Windows. 


Bcercicios 


Os exercicios desta seęao descreyem tarefas relacionadas com configurar um seryidor FTP no Linux e se 
conectar a esse seryidor usando um cliente FTP. Se voce empacar, as soluęóes para as tarefas sao 






mostrados no Apendice B. Tenha em mente que as soluęóes mostradas no Apendice B sao geralmente 
apenas urna das varias maneiras de completar uma tarefa. 

Nao faęa esses exerdcios em um sistema Linux rodando um servidor FTP publico porque eles quase 
certamente irao interferir nesse servidor. 

1 - Determine qual pacote fornece o servięo Very Secure FTP Daemon. 

2 - Instale o pacote Very Secure FTP Daemon em seu sistema e procure os arquivos de configuraęao 
nesse pacote. 

3 - Inicie o servięo Very Secure FTP Daemon e configure-o para iniciar quando o sistema e 
inicializado. 

4 - No sistema que executa o servidor FTP, crie umarquivo chamado test no diretório FTP 
anonimo que contem as palavras “Welcome to your vsftpd server” (“Bem-Vindo ao seu Servidor 
vsftpf’). 

5 - Apartir de umnavegador no sistema executando o servidor FTP, abra o arquivo test a partir do 
diretório inicial do FTP anonimo. Tenha certeza de que voce pode ver o conteudo desse arquivo. 

6 - A partir de um navegador fora do sistema que esta executando o servidor FTP, tente acessar o 
arquivo test no diretório inicial do FTP anonimo. Se voce nao puder acessar o arquivo, 
verifique se o firewall (iptables), o SELinuxe TCP wrappers estao configurados para 
permitir acesso a esse arquivo. 

7 - Configure o servidor vsf tpd para permitir envio de arquivos por usuarios anónimos para um 
diretório chamado in. 

8 - Instale o lf tp cliente de FTP (se voce nao temum segundo sistema Linux, instale lf tp no 
mesmo host que executa o servidor FTP). Se voce nao conseguir fazer upload de arquivos para o 
diretório in, verifique se o firewall (iptables), o SELinuxe os TCP wrappers estao 
configurados para permitir o acesso a esse arquivo. 

9 - Usando qualquer cliente de FTP que voce escolher, visite o diretório 

/pub/linux/docs/man-pages, no site ftp : / /kernel. org, e listę o conteudo desse 
diretório. 

10 TJsando qualquer cliente de FTP que voce quiser, baixe o arquivo man-pages-3.41. tar . gz, 
a partir do diretório kernel. org, que voce acabou de yisitar, para o diretório / tmp em seu 
sistema local. 



CAPITUUJ 

Configurando um servidor de compartilhamento de 
arquivos do Windows (Samba) 

NESTECAPITULO 

Obtendo e instalando o Samba 
Usando recursos de seguranęa do Samba 
Editando o arquivo de configuraęao smb.conf 
Acessando o Samba a partir de clientes Linux e Windows 
Usando o Samba na empresa 

0 Samba e umprojeto que implementa vers5es de código aberto dos protocolos usados para 

compartilhar arquivos e impressoras, bem como para autenticar usuarios e restringir hosts, entre 
sistemas Windows. O Samba oferece urna serie de maneiras de compartilhar arquivos entre 
sistemas Windows, Linux e OS/X Mac que sao bem conhecidas e facilmente disponiveis para os usuarios 
desses sistemas. 

Este capitulo orienta voce ao longo do processo de instalaęao e configuraęao de um servidor Samba. Ele 
descreve os recursos de seguranęa que voce precisa saber para compartilhar recursos de arquivos e 
impressoras e descreye como acessar esses recursos a partir de sistemas Linux e Windows. 


EntendendooSamba 


O Samba (www. samba . org) e umconjunto de programas que permite que Linux, UNIX e outros 
sistemas interoperem com protocolos de compartilhamento de arquivos e impressoras do Microsoft 
Windows. Windows, DOS, OS/2, Mac OS/X e outros sistemas clientes podem acessar seryidores Samba 
para compartilhar arquivos e impressoras da mesma maneira como fariam a partir de seryidores de 
arquivo e impressao Windows. 

Como Samba, voce pode usar o padrao TCP/IP para se comunicar com os clientes. Para o seryięo de 
nomes, o Samba suporta regulares hostnames TCP/IP, assimcomo nomes NetBIOS. Por esse motivo, o 
Samba nao requer o protocolo NetBEUI (frame Microsoft Raw NetBIOS). O compartilhamento de 
arquivos e feito usando o Common Internet File System (CIFS), que e urna implementaęao aberta do 




protocolo Server Message Błock (SMB). 

O projeto Samba temfeito grandes esforęos para tornar seu software seguro e robusto. Na yerdade, 
muitas pessoas preferemusar servidores Samba emvez dos servidores de arquivos do Windows por 
causa da maior seguranęa que e inerente a execuęao de servięos no estilo Windows de compartilhamento 
de arquivos no Linux ou outros sistemas operacionais tipo Unix. 

Para alem de toda a discussao tecnica, porem, o resultado finał e que o Samba torna facil compartilhar 
arquivos e impressoras entre servidores Linux e sistemas desktop Windows. Para o servidor, apenas 
alguns arquivos de configuraęao e ferramentas sao necessarios para gerenciar o Samba. Para os clientes, 
os recursos compartilhados apenas aparecem sob a seleęao NetWork no gerenciador de janelas ou no 
Ambiente de Rede em sistemas Windows mais antigos. 

Interfaces para gerenciar o Samba emumservidor Linux incluem a janela Samba Server Configuration 
(system-conf ig-samba) e interface baseada na web SWAT Samba (Samba Web Administration 
Tool). Como alternativa, voce pode editar diretamente os arquivos de configuraęao do Samba 
(particularmente smb . conf) e executar alguns comandos para configura-lo. 


ta 

ora nao seja abordada neste capftulo, muitas pessoas preferem a interface SWAT do Samba para editar 
amente os arquivos de configuraęao. Em algumas distribuięóes Linux, o Samba SWAT pode ser a unica interface 
ca disponivel. 

m guia rapido para fazero Samba SWAT funcionarem seu sistema Fedora ou RHEL: 

1 - Instale os pacotes samba-swat e xinetd. 

2 - Edite o arquivo /etc/xinetd. d/swat e altere a linha disable para o seguinte: 

disable = no. 

3 - Reinicie o servięo xinetd: xinetd start ; chkconf ig xinetd on. 

4 - Abra seunavegador web local neste endereęo: http : //localhost : 901. 

a Samba Web Administration Tool que se abre no navegador fornece urna interface diferente para configurar o 
dor Samba, diretórios compartilhados e impressoras que sao descritos no restante deste capftulo. Explorando a 
face, voce deve sercapaz de encontrara maneira de inseriressas informaęoes na interface SWAT. 


Para comeęar a usar o Samba em seu sistema Linux, voce precisa instalar alguns poucos pacotes de 
software, conforme descrito na próxima seęao. 

Instalando oSamba _ 

No Red Hat Enterprise Linux e no Fedora, para configurar um servidor de arquivo e impressao Samba, os 
unicos pacotes necessarios sao samba e samba-common. Entre outros componentes, o pacote samba 
inclui o daemon do servięo Samba (/usr/sbin/smbd) e o daemon do seryidor de nomes NetBIOS 







(/user/sbin/nmbd). O pacote samba-common contemarquivos de configuraęao do servidor 
(smb . conf, lmhosts e outros) e comandos para adicionar senhas e testar os arquivos de 
configuraęao, juntamente com outros recursos do Samba. 

Recursos de outros pacotes sao referenciados neste capitulo, portanto vou descrever como instalar esses 
pacotes tambem. Esses pacotes incluem: 

■ Pacote samba-client — Contemferramentas de linha de comando, como smbclient (para 

conexao comcompartilhamentos Samba ou Windows), nmblookup (para procurar endereęos de 
host) e f indsmb (para localizar maąuinas SMB na rede). 

■ Pacote samba-doc — Contem a documentaęao do Samba nos formatos HTML e PDF. A 

documentaęao esta no diretório /usr/share/doc/samba-doc-*. 

■ Pacote samba-swat — Contem urna interface baseada na web para a configuraęao de um servidor 

Samba. 

■ Pacote samba-winbind — Inclui componentes que permitem que seu servidor Samba no Linux se 

torne um membro completo de um dominio Windows, incluindo o uso de contas de usuario e 
grupo Windows no Linux. 

Para instalar todos os pacotes mencionados acima (samba-common sera instalado como urna 
dependencia do samba, por isso nao precisa ser especificamente observado), digite o seguinte, como 
root, na linha de comando no Fedora: 

t yua ins tali samba samba-client samba-doc samba-swat samba-winbind 
Depender.cies Resoived 

Pacbaęe Arch Versior. Repository 3s.se 


Installing: 


samba 

ić86 1 

3.6.5-85.fc 

16 

updates 

4.7 

H 

samba-client 

i€8€ 1 

3.6.5-85.fc 

16 

updates 

10 

H 

samba-doc 

ić8€ 1 

3.6.5-85.fc 

16 

updates 

7.5 

H 

samba-swat 

i€ 8 € 1 

3.6.5-85.fc 

16 

updates 

2.8 

H 

samba-winbind 

i686 1 

3.6.5-85.fc 

16 

updates 

3.2 

H 

Installing for 

depender.cies : 





samba-common 

i686 

1:3.6.5- 

85 

fcl€ 




Transactior. Summary 


Install 5 ?a:hages ( + 1 Dependent pacbage) 

Total download sise: 3? M 
Installed sise: 134 M 
Is this ob [y/N]: y 

Depois de ter instalado os pacotes Samba, de urna olhada nos arquivos de configuraęao nos pacotes 

samba e samba-common: 

# rpm -qc samba samba-common 

/etc/logrotate.d/samba 
/etc/pam.d/samba 
/etc/samba/smbusers 
/etc/samba/lmhosts 
/etc/samba/smb.conf 
/etc/sysconfig/samba 















Os arquivos /etc/logrotate . d/samba, /etc/pam. d/samba e / etc/sysconf ig/samba 

geralmente nao sao modificados. O primeiro configura a maneira como os arquivos em 

/var/log/samba sao reciclados (copiados para outros arquivos e removidos) ao longo do tempo. 

O segundo contem definięóes de autenticaęao do Samba (que essencialmente usam o arquivo 
password-auth para induir os mesmos metodos de autenticaęao basicos baseados emsenha e outros 
que login, sshd e outras ferramentas usam para fazer autenticaęao de senha no sistema). O terceiro e 
umarquivo emque voce pode colocar opęóes que sao passadas para os daemons smbd, nmbd ou 
winbindd, as quais permitemdesativar recursos como depuraęao. 

Amaioria dos arquivos de configuraęao do Samba esta no diretório /etc/samba. O arquivo 
smb . conf e o principal arquivo de configuraęao, onde voce coloca as configuraęóes globais para o 
servidor Samba, bem como informaęóes sobre compartilhamento de arquivos e impressoras individuais 
(mais sobre isso mais tarde). O arquivo smbusers permite mapear usuarios do Linuxpara nomes de 
usuarios do Samba. O arquivo lmhosts permite que o hostname NetBIOS do Samba seja mapeado para 
endereęos IP. 

Urna grandę quantidade de documentaęao e incluida nos pacotes Samba. A medida que configura o 
servidor Samba, voce vai querer consultar a pagina man do arquivo smb . conf (man smb . conf). Ha 
tambem paginas man para comandos do Samba, como smbpasswd (para alterar senhas), smbclient 
(para conectar a umservidor Samba) e nmblookup (para procurar informaęóes NetBIOS). 

Depois de ter instalado os pacotes Samba e completado um rapido levantamento do que eles contem, 
tente iniciar o servięo Samba e ver o que voce tern em urna configuraęao padrao. 


Iniciando e parando o Samba _ 

Com samba e samba-common instalados, voce pode iniciar o servidor e investigar como ele e 
executado na configuraęao padrao. Os dois principais servięos estao associados a um servidor Samba, e 
cada qual tern seu próprio servięo daemon. Esses servięos incluem: 

■ smb — Esse servięo controla o processo daemon smbd, que fornece os servięos de 

compartilhamento de arquivo e impressao que podem ser acessados por clientes Windows. 

■ NMB — Esse servięo controla o daemon nmbd. Ao fornecer servięo de mapeamento de nome 

NetBIOS para endereęo, o nmbd pode mapear solicitaęóes de clientes Windows para nomes 
NetBIOS de modo que eles possam ser convertidos em endereęos IP. 

Para compartilhar arquivos e impressoras com outros sistemas Linux com Samba, apenas o servięo smb 
e necessario. Apróxima seęao descreve como iniciar e ativar o servięo smb. 

Iniciando o servięo Samba (smb) 

O servięo smb e o que inicia o servidor smbd e torna arquivos e impressoras disponiveis a partir de seu 
sistema local para outros computadores na rede. Como de costume, os seryięos sao ativados e comeęam 




de forma diferente em diferentes sistemas Linux. Para diferentes sistemas Linux, voce precisa encontrar o 
nome do servięo e a ferramenta correta para iniciar o daemon smbd. 

No Fedora, para habilitar o Samba a iniciar na inicializaęao do sistema e ser carregado imediatamente , 
digite o seguinte na linha de comando como root: 

# systemctl enable smb.service 

# systemctl start smb.service 

# systemctl status smb.service 

smb.service - Samba SMB Daemon 

Loaded: loaded (/lib/systemd/system/smb.service; enabled) 

Active: active (running) sińce Thu, 17 May 2012 06:14:08 -0400; 

2 days ago 

Main PID: 4838 (smbd) 

CGroup: name=systemd:/system/smb.service 
|- 4838 /usr/sbin/smbd 
L 4840 /usr/sbin/smbd 

O primeiro comando systemctl habilita o servięo, o segundo inicia-o imediatamente e o terceiro 
mostra o status. Para investigar mais, notę que o servięo de arquivo esta localizado em 
/lib/systemd/system/smb . service. De urna olhada no conteudo desse arquivo: 

# cat /lib/systemd/system/smb.service 

[Unit] 

Description=Samba SMB Daemon 

After=syslog.target network.target nmb.service winbind.service 
[Service] 

Type=forking 
PIDFile=/run/smbd.pid 
LimitNOFILE=l63 8 4 

EnvironmentFile=-/etc/sysconfig/samba 
ExecStart=/usr/sbin/smbd $SMBDOPTIONS 

O processo de daemon do Samba (smbd) inicia depois dos servięos syslog, network, nmb e 
winbind. O arquivo /etc/sysconf ig/samba contem variaveis que sao passadas como 
argumentos para o daemon / usr/sbin/smbd quando ele inicia. Nenhuma opęao esta configurada por 
padrao para o daemon smbd (nenhuma esta configurada para os daemons nmbd ou winbindd tambem, 
os quais tambem podem ter opęóes inseridas nesse arquivo). 

No RHEL 6 e versoes mais recentes, voce pode iniciar o servięo Samba da seguinte forma: 

# service smb start 

Starting SMB servi.ces: [ OK ] 

# chJcconfig smb on 

# service smb status 
sjrJ^d (pid 28056) is running... 

# chkconfig —list smb 

sil 0:off l:off 


2:on 3:on 4:on 5:on €:off 



Quer voce esteja executando o servidor Samba no RHEL, Fedora, Linux ou outro sistema, voce pode 
verificar o acesso ao servidor Samba usando o comando smbclient (do pacote samba-client). 
\bce pode obter informaęóes basicas de um seryidor Samba usando o seguinte comando: 


# smbclient -L 192.168.0.119 
Enter root's password: <ENTER> 

Anonymous login successful 

Domain=[MYGROUP] 0S=[Unix] Server=[Samba 3.6.5-85.fcl€] 
Sharename Type Comment 


IPC5 


IPC Service 


(Samba Server Version 3.6.5-85.fcl6> 
DeskJet Printer DeskJet 

Jeeves Printer HP Deskjet 3050 J610 series 

deskjet-5550 Printer hp deskjet 5550 

Anonymous login successful 

Domain=[MYGROUP] 0S=[Unix] Server=[Samba 3.6.5-85.fcl6] 

Server Comment 


Workgroup Master 


A salda smbclient permite ver que seryięos estao dispomveis a partir do seryidor. Eu dei o endereęo 
IP do seryidor como um argumentu para identificar a localizaęao dele. Por padrao, o login anonimo e 
permitido ao consultar o seryidor (assim, simplesmente pressionei Enter quando fui solicitado a informar 
urna senha). 

Ybce pode distinguir urna serie de coisas sobre a configuraęao do seryidor Samba padrao a partir dessa 
saida: 


■ O dominio padrao (esse e um dominio do Windows e nao um dominio DNS) esta configurado 

como MYGROUP. 

■ O nome do seryidor padrao e configurado como a yersao atual do Samba, neste caso, Samba 3.6.5- 

85.fcl6, o que representa build 85 da release 3.6.5 do Samba no Fedora 16. 

■ Todas as impressoras que sao compartilhadas por meio do seryidor CUPS em seu sistema Linux 

tambem estao, por padrao, disponiveis a partir do seryidor Samba em execuęao no mesmo 
sistema. 

■ Nenhum diretório ainda esta compartilhado no seryidor. 

■ Nao ha seryięo de nomes NetBIOS ainda em execuęao no seryidor Samba. 

Entao, voce pode decidir se quer executar o seryięo de nomes NetBIOS no seryidor Samba. 


Iniciando o servidor de nomes NetBIOS (nmbd) 

Se nao houver nenhum seryidor de dominio do Windows rodando na rede, como e o caso aqui, voce pode 
iniciar o seryięo nmb no host Samba para prestar esse seryięo. Para iniciar o seryięo nmb (daemon 
nmbd) no Fedora, digite o seguinte: 


# systemctl enable nmb.service 

# systemctl start nmb.service 

# systemctl status nmb.service 









No RHEL 6 e versóes anteriores, voce deve di gitar o seguinte para iniciar o servięo nmb: 

# service nmb start 

# service nmb status 

# chkconfig nmb on 

# chkconfig --list nmb 

Independentemente de como o servięo NetBIOS foi iniciado, o daemon nmbd agora deve estar em 
execuęao e pronto para servir mapeamento de nome para endereęo NetBIOS. Execute o comando 
smbclient -L novamente, seguido pelo endereęo IP do servidor. Desta vez, as ultimas linhas da 
saida devem exibir a informaęao obtida a partir do servidor NetBIOS agora em execuęao no servidor. 
Neste caso, as ultimas linhas estavam assim: 

# smbclient -L 192.168.0.119 

Server Comment 

SPIKE Samba Server Version 3.6.5-85.fclć 

Workgroup Master 

MYGROUP SPIKE 

\bce pode ver que o novo nome NetBIOS do servidor e SPIKE e que e o servidor principal para o grupo 
de trabalho. Para consultar o servidor nmbd para o endereęo IP de SPIKE, voce deve digitar o seguinte: 

# nmblookup -U 192.168.0.119 SPIKE 

ąuerying SPIKE on 192.168.0.119 
192.168.0.119 SPIKE<00> 

\foce deve ser capaz de ver seu servidor Samba executando a partir do sistema local agora. O hostname 
atribuido ao sistema (neste caso, SPIKE) vemdo valor hostname que voce pode configurar no arquivo 
/etc/sysconf ig/network ouno servidor DHCP. Se voce nao tiver configurado o hostname (digite 
hostname para ver se ele esta configurado), o nome do servidor NetBIOS apareceria como 
LOCALHOST. 

Mas se voce tiver um firewall configurado ou o SELinux habilitado, voce pode ainda nao ser capaz de 
acessar plenamente o servidor Samba a partir de um sistema remoto. Apróxima seęao deve ajudar a abrir 
o Samba para sistemas fora do sistema local, bem como habilitar alguns recursos do Samba, que podem 
ser desativados pelo SELinux. 

Parando os servięos do Samba (SMB) e do NetBIOS (BNM) 

A firn de parar os servięos smb e nmb no Fedora, voce pode usar o mesmo comando systemctl 
utilizado para inicia-los. \bce pode usar o mesmo comando para desabilitar os servięos, assim eles nao 
iniciam de novo quando o sistema e inicializado. Eis alguns exemplos de como parar imediatamente os 
servięos smb e nmb: 


# systemctl stop smb.service 







# systemctl stop nmb.service 


No RHEL 6 e yersoes anteriores, voce deve digitar o seguinte a fimde parar os servięos smb e nmb: 

# service smb stop 

# service nmb stop 

Para impedir que os servięos smb e nmb iniciemda próxima vez que o sistema for reinicializado, digite 
os seguintes comandos no Fedora: 

# systemctl disable smb.service 

# systemctl disable nmb.service 

No Red Hat Enterprise Linux, digite os seguintes comandos para desabilitar os servięos smb e nmb: 

# chkconfig smb off 

# chkconfig nmb off 

# chkconfig --list nmb 

Naturalmente, voce só quer parar ou desabilitar os servięos smb e nmb se nao quiser mais utilizar o 
servięo Samba. Se estiver pronto para continuar a configurar seu servięo Samba, voce pode continuar e 
comeęar a configurar seus recursos de seguranęa do Linux para permitir que o servięo do Samba se torne 
disponiyel para os outros em sua rede. 


Protegendo o Samba _ 

Se nao e capaz de acessar o servidor Samba imediatamente após inicia-lo, voce provavelmente tern 
algum trabalho de seguranęa a fazer. Como muitas das instalaęóes padrao do Linux impedem, em vez de 
permitir, o acesso ao sistema, lidar com a seguranęa de um servięo como o Samba geralmente tern mais a 
ver com torna-lo disponiyel do que torna-lo seguro. 

Eis os recursos de seguranęa dos quais voce deve estar ciente ao configurar seu sistema Samba: 

■ Firewalls — O firewall padrao para o Fedora, RHEL e outros sistemas Linux impede qualquer 

acesso a seryięos locais a partir de sistemas externos. Assim, para permitir que usuarios de 
outros computadores acessem seu seryięo Samba, voce deve criar regras de firewall que abrem 
urna oumais portas para os protocolos TCP selecionados (emparticular). 

■ SELinux — Muitos recursos do Samba sao considerados potencialmente inseguros pelo SELinux. 

Como os booleanos (opęóes que ativam/desativam determinados recursos) padrao do SELinux 
sao configurados para oferecer o acesso minimo exigido, voce precisa ativar os booleanos para 
recursos como permitir que os usuarios acessem seus próprios diretórios iniciais com o Samba. 
Emoutras palavras, voce pode configurar o Samba para compartilhar o diretório inicial do 
usuario, mas o SELinux proibira que alguem tente usar esse recurso a menos que voce configure o 
SELinux para permitir esse recurso. 




■ Restrięoes de host e usuario— Dentro dos arquivos de configuraęao do Samba, voce pode 

indicar as maąuinas e usuarios que podem ter acesso ao servidor Samba como um todo ou a 
determinados diretórios compartilhados. 

As próximas seęóes descrevem como configurar os recursos de seguranęa que acabamos de mencionar 
para o Samba. 

Configurando firewalls para o Samba 

Se umfirewall iptables estiver configurado para seu sistema quando voce instalar o Samba, o 
firewall geralmente permitira quaisquer solicitaęóes de servięo por parte de usuarios locais, mas 
nenhuma por parte de usuarios externos. E por isso que, no finał da seęao de instalaęao deste capitulo, 
voce deve ter sido capaz de testar que o Samba estava funcionando usando o comando smbclient do 
sistema local. Mas se a solicitaęao tivesse origem em outro sistema, ela teria sido rejeitada. 

Configurar regras de firewall para o Samba consiste principalmente em abrir as portas entrantes que os 
daemons smbd e nmbd estao ouvindo. Essas sao as portas que voce deve abrir para fazer umservięo 
Samba funcionar em seu sistema Linux: 

■ Porta TCP 445 — Essa e a porta principal que o daemon smbd do Samba ouve. Seu firewall 

deve dar suporte as solicitaęóes de pacotes entrantes nessa porta para o Samba para funcionar. 

■ Porta TCP 139 — O daemon smbd tambem ouve na porta TCP 139 para lidar com sessóes 

associadas a nomes de host NetBIOS. E possivel utilizar o Samba sobre TCP sem abrir essa 
porta, mas isso nao e recomendado. 

■ Portas UDP 137 e 138 — O daemon nmbd usa essas duas portas para receber solicitaęóes 

NetBIOS. Se voce estiver usando o daemon nmbd, essas duas portas devem ser abertas para 
solicitaęóes de novos pacotes para a conversao de nomes NetBIOS. 

Considere um firewall padrao do Fedora que permite pacotes entrantes a partir do host local, de 
conexdes estabelecidas, e relacionados com as conexoes estabelecidas, mas nega todos os outros pacotes 
entrantes. O exemplo a seguir representa umconjunto de regras de firewall no arquivo 
/etc/sysconfig/iptables, comquatro novas regras (destacadas no código que se segue) 
adicionadas para abrir as portas para o Samba: 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 


-A 

INPUT 

-m 

State 

--state 

ESTABLISHED 

, RELATED 

-j ACCEPT 



-A 

INPUT 

-P 

icmp ■ 

-j ACCEPT 








-A 

INPUT 

-i 

lo -j 

ACCEPT 









-I 

INPUT 

-m 

state 

--state 

NEW -m 

udp 

"P 

udp - 

-dport 

137 

"j 

ACCEPT 

-I 

INPUT 

-m 

state 

--state 

NEW -m 

udp 

"P 

udp - 

-dport 

138 

"j 

ACCEPT 

-I 

INPUT 

-m 

state 

--state 

NEW -m 

tcp 

"P 

tcp - 

-dport 

139 

"j 

ACCEPT 




-I INPUT -m state --State NEW -m tcp -p tcp --dport 445 -j ACCEPT 

-A INPUT -j REJECT —reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 

Seu firewall pode incluir regras adicionais para permitir solicitaęóes de pacotes entrantes para outros 
servięos, como servięos Secure Shell (sshd) ou web (httpd). \bce pode deixar essas como estao. O ponto 
principal e ter suas regras do Samba colocadas emalgumlugar antes das regras REJECT finais. 

Se seu firewall estiver ativado, voce pode reinicia-lo para que as novas regras entrememvigor. Para 
isso, digite systemctl restart iptables . service (no Fedora) ou service restart 
iptables (no RHEL). Tente conectar-se ao servięo Samba usando o comando smbclient 
novamente ou usando outras tecnicas descritas na seęao “Acessando compartilhamentos do Samba”, mais 
adiante, neste capitulo. 

Veja o Cap&xOOOED;tulo 25, “Protegendo o Linux emuma rede”, para mais informaęóes sobre o uso de 

iptables. 

Configurando o SELinux para o Samba 

Ha tanto consideraęóes sobre contextos de arquivo como sobre booleanos relacionados ao uso do Samba 
com o SELinux no modo Enforcing. Contextos de arquivos devem ser devidamente configurados em um 
diretório que e compartilhado pelo Samba. Booleanos permitem substituir a abordagem “segura por 
padrao” para determinados recursos do Samba. 

\bce pode encontrar informaęóes sobre como o SELinux confina o Samba na pagina man 
samba_selinux (man samba_selinux). Para urna compreensao mais profunda do SELinux, 
consulte o Cap&xOOOED;tulo 24, “Aprimorando a seguranęa do Linuxcomo SELinux”. 

Configurando os booleanos do SELinux para o Samba 

Ha varias maneiras de ver os booleanos associados com o Samba. No Fedora e no RHEL, voce pode 
instalar o pacote policycore-utils-gui e executar o comando system-conf ig-selinux. 
Na janela SELinux Administration que aparece, selecione Booleans na coluna esquerda e examine os 
booleanos listados como módulo samba. 

Outra forma para listar booleanos para o Samba e usar o comando semanage, como segue: 

# semanage boolean -1 | grep -i samba 

O que se segue e urna lista de booleanos do SELinux que se aplicamao Samba e suas descrięóes. O 
booleano primeiro permite que voce deixe o SELinux no modo Enforcing, mas impede que o SELinux 
restrinja Scripts que o servidor Samba pode executar. Todos os outros configuram quais arquivos e 
diretórios do servidor Samba podem ser lidos e gravados por usuarios do Samba: 

■ samba_run_unconfined— Permite que o Samba execute Scripts nao confinados. 

■ aUow_smbd_anon_write — Permite que o Samba deixe usuarios anonimos modificarem arquivos 



publicos utilizados para servięos publicos de transferencia de arquivos. Arquivos e diretórios 
devemser rotulados como public_content_rw_t. 

■ samba_enable_honie_dirs — Permite que o Samba compartilhe o diretório inicial dos usuarios. 

■ samba_export_all_ro — Permite que o Samba compartilhe qualquer arquivo e diretório somente 

leitura. 

■ use_samba_home_dirs — Permite que um servidor Samba remoto acesse diretórios na maquina 

local. 

■ samba_create_home_dirs— Permite que o Samba crie novos diretórios iniciais (por exemplo, 

via PAM). 

■ samba_export_all_rw — Permite que o Samba compartilhe qualquer arquivo ou diretório de 

leitura/gravaęao. 

Os seguintes booleanos afetam a capacidade do Samba para compartilhar diretórios que sao eles 
próprios montados a partir de outros servięos remotos (tal como o NFS) ou atuem como um controlador 
de dominio do Windows: 

■ samba_share_fusefs — Permite que o Samba exporte volumes ntfs/fusefs. 

■ samba_share_nfs — Permite que o Samba exporte volumes NFS. 

■ samba_domain_controller — Permite que o Samba atue como controlador de dominio, adicione 

usuarios e grupos e altere senhas. 

O comando setsebool e usado para transformar booleanos do SELinux ativados ou desativados. 
Usado coma opęao -P, setsebool configura permanentemente o booleano que voce indicar. Por 
exemplo, para permitir que o Samba compartilhe qualquer arquivo ou diretório com permissao somente 
leitura a partir do servidor, voce pode digitar o seguinte em um shell, como usuario root: 

# setsebool -P samba_export_all_ro on 

# getsebool samba_export_all_ro 

samba_export_all_ro --> on 

O comando setsebool configura o booleano, neste caso, como on. getsebool permite que voce 
veja o valor do booleano. 

Definindo contextos de arquivo do SELinux para o Samba 

O SELinux confina os arquivos que o servięo Samba pode acessar. Em vez de permitir que qualquer 
arquivo com permissoes apropriadas de leitura e gravaęao sejamcompartilhados pelo servidor Samba, o 
SELinux (quando no modo Enforcing) exige que os arquivos e diretórios tenham os contextos de arquivo 
corretos configurados sobre eles antes de o servięo Samba poder ate mesmo ver que os arquivos existem 

Para o servięo Samba funcionar como SELinuximediatamente, alguns arquivos e diretórios ja sao 
fornecidos com os contextos de arquivo apropriados. Por exemplo, os arquivos de configuraęao 
(/etc/samba/*), os arquivos de log (/var/log/samba/*) e as bibliotecas 



(/var/lib/samba/*) do Samba temregras atribmdas para assegurar que o servięo obtenha os 
contextos de arquivo apropriados. Para localizar arquivos e diretórios associados como servięo do 
Samba e o daemon smbd que possuam contextos de arquivo pre-configurados, execute o seguinte: 

# semanage fcontext -1 | grep -i samba 

# semanage fcontext -1 | grep -i smb 

A parte contexto de arquivo emque voce esta interessado termina comt: por exemplo, 

samba_etc_t, samba_log_t e smbd_var_t, para os diretórios /etc/samba, 

/var/log/samba e / var/lib/samba, respectivamente. 

\bce pode achar que precisa mudar contextos de arquivos — por exemplo, quando coloca arquivos em 
locais nao padrao (como mover o arquivo smb . conf para /root/smb . conf) ou quando quer 
compartilhar um diretório (que nao os diretórios iniciais, que podem ser ativados configurando um 
booleano). Ao contrario dos servidores vsftpd (FTP) e httpd (web) que yemcomo Linux, o Samba 
nao tern diretórios padrao de conteudo compartilhado (aqueles que acabamos de mencionar usavam 
/var / ftp e / var/www/html). 

\bce pode alterar um contexto de arquivo permanentemente criando urna nova regra de contexto de 
arquivo e, entao, aplicando essa regra ao arquivo ou diretório para o qual ele se destina. \bce pode fazer 
isso como comando semanage (para criar a regra) e o comando restorecon (para aplicar a regra). 
Por exemplo, se quiser compartilhar um diretório, /mystuf f, voce deve cria-lo comas permissóes 
adequadas e executar o seguinte comando para torna-lo disponivel para acesso de leitura/grayaęao a 
partir do Samba: 

# semanage fcontext -a -t samba_share_t "/mystuff (/.*)?" 

# restorecon -v /mystuff 

Depois que esses comandos sao executados, o diretório /mystuff, juntamente comtodos os arquivos e 
diretórios abaixo desse ponto, terno contexto de arquivo samba share t. Entao, cabe a voce atribuir 
a posse e as permissóes de arquivo corretas para permitir acesso aos usuarios que voce escolher. A 
seęao “Configurando o Samba” fornece um exemplo de como criar urna aęao e mostra como adicionar 
permissóes e posse a um diretório compartilhado usando comandos padrao do Linux. 


Configurando permissóes de host/usuario do Samba 

Dentro do arquivo smb . conf, voce pode permitir ou restringir acesso ao servidor Samba inteiro ou a 
compartilhamentos especificos combase nos hosts ou usuarios que tentamobter acesso. \bce tambem 
pode restringir o acesso ao servidor Samba fornecendo o servięo apenas emplacas de redes especificas. 

Por exemplo, se voce tern urna płaca de rede conectada a internet e outra conectada a rede local, voce 
pode dizer para o Samba atender as solicitaęóes somente na płaca de rede local. Apróxima seęao 
descreve como configurar o Samba, incluindo a forma de identificar quais hosts, usuarios ou placas de 
rede podem acessar seu seryidor Samba. 



Configurando o Samba _ 

Amaior parte da configuraęao do Samba e feita no arquivo /etc/samba/smb . conf. Conforme voce 
configura o servidor Samba, tambem pode adicionar informaęóes sobre hosts e sobre usuarios aos 
arquivos lmhosts e smbusers, respectivamente. 

Para configurar o smb . conf, voce pode usar umeditor de texto simples. Mas o Samba yemcomuma 
ferramenta baseada na web que voce pode obter instalando o pacote sambaswat. E o Fedora tern urna 
interface grafica de configuraęao do Samba (system-conf ig-samba). As próximas seęóes ensinam 
passo a passo como usar as interfaces graficas para configurar o Samba. Depois disso, examine o arquivo 
smb. conf resultante. 

Utilizando system-config-samba 

Nos sistemas Fedora, voce pode instalar o pacote system-config-samba para usar a janela Samba 
Server Configuration para configurar o Samba. Apartir dessa janela, voce pode configurar as definięóes 
basicas do servidor, adicionar compartilhamentos e criar contas de usuario para que as pessoas possam 
acessar esses compartilhamentos. Para instalar systemconf ig- samba, digite o seguinte como root 
na linha de comando: 

# yum install system-config-samba 

Com system-config-samba instalado, voce pode inicia-lo no Fedora, a partir da pagina 
Applications, clicando duas vezes no icone Samba. Ou voce pode simplesmente digitar o seguinte no 
shell: 

# system-config-samba & 

A janela Samba Server Configuration deve aparecer em seu desktop. Agora, voce pode configurar o 
seryidor Samba basico e comeęar a adicionar diretórios compartilhados. 

Escolhendo as configuraęóes do servidor Samba 

Apartir da janela de configuraęao do seryidor Samba, voce deve primeiro definir as configuraęóes 
basicas e o tipo de autenticaęao que esta usando. Comece selecionando Preferences => Server Settings. A 
janela pop-up Seryer Settings aparece, como mostrado na Figura 19.1. 




a 19.1 


ha Basic Samba server settings. 


Nesse exemplo, o nome Workgroup e alterado para datagroup e Sales Data e configurado como a 
Description. Entao, selecione a guia Security. O modo de autenticaęao padrao e User, o que significa que 
os nomes de usuario Samba (Windows) sao mapeados para contas de usuarios reais do sistema Linux. 
Nenhum sistema externo e contatado para autenticar usuarios. 

Senhas criptografadas sao usadas por padrao. Tambem por padrao, nao ha nenhuma conta de convidado. 
Se voce quiser ter urna conta de convidado nao autenticado que possa acessar seu servidor Samba, clique 
na caixa que diz No guest account e escolha qual usuario do Linux e atribuido ao usuario convidado. Por 
exemplo, se voce atribuiu joe a conta de convidado, a conta do usuario joe precisa ter acesso a um 
diretório ou arquivo compartilhado para um usuario convidado acessa-lo. A Figura 19.2 mostra um 
exemplo das configuraęóes de seguranęa. 




a 19.2 


ha as configuraęóes de seguranęa do servidor Samba. 


Configurando contas de usuarios do Samba 

Se estiver usando o tipo de autenticaęao de usuario padrao, como estamos aqui, voce pode configurar 
contas de usuario para acessar o sistema Fedora selecionando Preferences => Samba Users. Aprincipio, 
nao ha usuarios do Samba listados. Para adicionar um usuario do Samba, selecione Add User a partir na 
janela Samba Users. 

Na tela Create New Samba User que aparece, selecione a conta de usuario local Linux (nome de usuario 
UNIX) a partir da caixa drop-down. \bce pode usar o mesmo nome ou um diferente para Windows 
Username. Entao, preencha a senha do Samba para o usuario e selecione OK. A Figura 19.3 mostra como 
criar umnovo usuario do Samba chamado chris que tema mesma permissao que o usuario Linux 
chris tern para acessar o sistema. 




a 19.3 


one contas de usuario ao seu servidor Samba. 


\bce pode configurar ąuantos usuarios quiser a partir de suas contas de usuario Linux para conceder-lhes 
o acesso a arquivos e diretórios por meio de seu servidor Samba. 

Com as configuraęóes basicas do sistema e do usuario no lugar, voce pode comeęar a criar diretórios 
compartilhados. 

Criando uma pasta compartilhada Samba 

Antes que voce possa criar uma pasta compartilhada, a pasta (diretório) deve existir e ter o conjunto de 
permissóes apropriado. Neste exemplo, o diretório /var/salesdata esta compartilhado. Queremos 
que os dados sejam gravaveis pelo usuario chamado chris, mas visiveis para qualquer pessoa na nossa 
rede. Para criar esse diretório e configurar as permissóes e contextos SELinux adequados, digite o 
seguinte, como usuario root: 

# mkdir /var/salesdata 
#chmod 775 /var/salesdata 

# chown chris:chris /var/salesdata 

# semanage fcontext -a -t samba_share_t /var/salesdata 

# restorecon -v /var/salesdata 

Entao, a partir da janela de configuraęao do servidor Samba, selecione File => Add Share. Ajanela 
Create Samba Share aparece. Comece preenchendo o nome da pasta (selecione Choose para procura-la), 
um nome para representar a aęao e uma descrięao. Entao, voce deve escolher se quer ou nao deixar que 
alguem possa gravar nela e se quer ou nao que a existencia do compartilhamento seja visivel para 
qualquer pessoa. A Figura 19.4 mostra um exemplo da janela. 




a 19.4 


ha a pasta e o nome do novo compartilhamento. 


Depois de preencher as informaęóes basicas, selecione a guia Access. Qualquer usuario do Samba que 
voce criou ate este ponto aparecera na guia Access. Coloque urna marca de seleęao ao lado de qualquer 
usuario ao qual voce quer dar acesso a esse diretório compartilhado. Como eu atribui a posse a chris e 
deixei abertas as permissóes de leitura/gravaęao para ele, o usuario chris sera capaz de ler e gravar no 
diretório por meio do Samba. A Figura 19.5 mostra um exemplo das configuraęóes de acesso para o 
compartilhamento. 




a 19.5 


gure o acesso ao novo compartilhamento. 


Selecione OK quando terminar de configurar o compartilhamento. Em seguida, voce deve testar se o 
compartilhamento esta dispomyel. 


Verificando o compartilhamento Samba 

Para que as alteraęóes na configuraęao do Samba tenham efeito, e necessario reiniciar o servięo smb. 
Urna vez feito isso, verifique se o compartilhamento Samba que voce criou esta dispomyel e se qualquer 
usuario que voce atribuiu ao compartilhamento pode acessa-lo. Para fazer essas coisas, digite o seguinte, 
como usuario root, a partir de um shell no seryidor Samba: 


# systemctl restart smb.service 

# smbclient -L localhost 
Enter root's password: <ENTER> 
Anonymous login successful 


Domain=[DATAGROUP] 

CS=[Unix] 

Server=[Samba 3.6.5-85.fcl€] 

Sharenarae 

Type 

Commenc 

salesdara 

Diak 

Sales dara for current y 

IPC? 

IPC 

IPC Service (Sales Data) 

Anonymous login su 

ccessful 


Dcmain=[DATAGROUP] 

0S=[Unix] 

36^/61=[Samba 3.6.5-85.fcl6] 


Aqui voce pode ver o nome do compartilhamento (s aleś data), o dominio definido para o nome de 
grupo de trabalho DATAGROUP e a descrięao inserida anteriormente (Sales Data). Em seguida, urna 
maneira rapida de testar o acesso ao compartilhamento e usar o comando smbclient. \bce pode usar o 
nome ou endereęo IP com smbclient para acessar o compartilhamento. Como estamos no sistema 
local, nesse exemplo, e só usar o nome localhost e o usuario que adicionamos (chris): 

# smbclient -U chris //localhost/salesdata 

Enter chris's password: ******** 

Domain=[DATAGROUP] OS=[Unix] Server=[Samba 3.6.5-85.fcl6] 

smb: \> lcd /etc 


smb: \> put hosts 

cuttir.g file hosts as \hosts (43.5 kb/s} (average 43.5 kb/s) 
smb: \> ls 

D 0 3at May 2€ 09:52:51 2012 

DO 3at May 26 09:11:50 2012 
hosts A 69 Sat May 2ć 09:52:51 2012 

39941 blocks o£ sise 52429S. 2S19? blocks available 
smb: \> '^uit 

Um compartilhamento do Samba aparece na forma / / host/ share ou \ \host\ share. Mas 
quando voce identifica um compartilhamento do Samba a partir de um shell do Linux no ultimo caso, as 
barras inyertidas precisamser “escapadas”. Entao, como umargumento, o primeiro exemplo do 
compartilhamento teria de aparecer como \ \\\localhost\\salesdata. Logo se ve, portanto, que 
a primeira forma e mais facil de usar. 







ta 

“escapar" um caractere que voce digita a partir do shell, voce coloca uma barra invertida (\) na frente do 
stere. Isso instrui o shell a usar o caractere após a barra invertida literalmente, em vez de dar ao caractere um 
ficado especial para o shell. (Os caracteres * e ? sao exemplos de caracteres com significado especial.) Como a 
) invertida tern um significado especial para o shell, se voce quiser usar uma barra invertida literalmente, precisa 
ede-la com uma barra invertida. E por isso que, quando voce quer digitar um endereęo do Samba que inclui duas 
js invertidas, voce precisa, na verdade, colocarquatro barras invertidas. 


Quando solicitado, digite a senha do Samba para esse usuario (que pode ser diferente da senha do 
usuario do Linux). \hce ve o prompt smb : \> depois disso. 

Nesse ponto, voce temuma sessao aberta para o host Samba que e semelhante a uma sessao de lf tp 
para navegar por um servidor FTP. O comando lcd /etc torna /etc o diretório atual no sistema 
local. O comando put hosts copia o arquivo hosts do sistema local para o diretório compartilhado. 
Digitar ls mostra que o arquivo existe no servidor. quit termina a sessao. 

Emvez de configurar o servidor, os usuarios e os compartilhamentos com a janela system-config- 
samba, voce poderia usar a interface samba-swat baseada na web ou editar o arquivo smb . conf 
diretamente. Apróxima seęao mostra como usar o arquivo smb . conf diretamente para configurar o 
Samba. 

Configurando o Samba no arquivo smb.conf 

Dentro de /etc/samba/smb . conf estao ajustes para configurar o servidor Samba, definir 
impressoras compartilhadas, configurar como a autenticaęao e feita e criar diretórios compartilhados. O 
arquivo consiste nas seguintes seęóes pre-definidas: 

■ [global] — Configuraęóes que se aplicam ao servidor Samba como um todo sao colocadas nesta 

seęao. Aqui e onde voce configura a descrięao do servidor, seu grupo de trabalho (dominio), a 
localizaęao dos arquivos de log, o tipo padrao de seguranęa e outras configuraęóes. 

■ [homes] — Esta seęao determina se ou nao os usuarios com contas no servidor Samba podem ver 

seus diretórios iniciais (browseable) ou gravar neles (writable). 

■ [printers] — Nesta seęao, as configuraęóes dizem ao Samba se ele deve ou nao tornar disponiveis 

as impressoras que estao configuradas para impressao pelo Linux (CUPS). 

Dentro do arquivo smb . conf tambemha varias seęóes cujas linhas estao desativadas como caractere 
de comentario ponto e virgula (;). Remover os pontos e virgulas permite configurar rapidamente 
diferentes tipos de informaęóes compartilhadas. Aoutra informaęao ilustrada no arquivo smb . conf nas 
próximas seęóes reflete a mesma configuraęao do Samba que adicionamos durante o processo de 

system-config-samba. 

Tenha em mente que nao e necessario usar qualquer interface grafica ao configurar o Samba. \hce pode 
simplesmente editar o arquivo smb . conf diretamente, usando as tecnicas descritas nesta seęao. Editar 






smb . conf diretamente e a forma mais comumde configurar o Samba em um servidor Red Hat 
Enterprise Linux que nao tern interface de desktop grafica instalada. 


Configu rando a seęao [global] 

Se examinar a seęao [global] do arquivo smb . conf, voce pode ver que algumas configuraęóes 
foram modificadas e outras estao desativadas com caracteres de comentario, prontas para voce modifica- 
las como quiser: 

[global] 

workgroup = datagroup 
server string = Sales Data 
; netbios name = MYSERVER 

; interfaces = lo ethO 192.168.12.2/24 192.168.13.2/24 

; hosts allow = 127. 192.168.12. 192.168.13. 

log file = /var/log/samba/log.%m 
max log size = 50 
security = user 
cups options = raw 

workgroup (tambem usado como o nome de dominio) esta configurado como datagroup nesse 
exemplo. Quando um cliente se comunica com o servidor Samba, esse nome informa ao cliente o grupo 
de trabalho emque o servidor Samba esta. Qualquer valor configurado como server string e 
utilizado mais tarde para preencher valores de comentario apresentadas ao lado das linhas de IPC e na 
caixa de comentario da impressora quando essa informaęao e apresentada para aplicativos clientes. 

Por padrao, o hostname do seu servidor DNS (digite hostname para ver o que ele e) tambem e usado 
como o nome NetBIOS de seu servidor Samba. \bce pode substituir isso e configurar um nome NetBIOS 
separado simplesmente removendo o caractere de comentario da linha netbios name e adicionando o 
nome do servidor que voce quiser. Por exemplo: netbios name = myownhost. localhost e 
usado como o nome NetBIOS se ele nao for configurado de outra forma. 

Como o valor de log file esta configurado, logs associados a atividade do Samba sao gravados em 
/var/log/samba/log. %m, onde %m representa o nome ou endereęo IP do sistema que esta 
contatando o servidor Samba. Isso torna mais facil depurar problemas relacionados com solicitaęóes de 
um determinado sistema, pois cada cliente tern seu próprio arquivo de log atribuido. 

O max log size limita o tamanho de cada arquivo de log a um determinado numero de kilobytes 
(50KB por padrao). Urna vez que o tamanho tenha sido excedido, o Samba copia o arquivo para um 
arquivo de log de mesmo nome com . old anexado a ele. O tipo de security padrao e configurado 
como cups options (nomes de usuario e senhas do Samba) e cups options deixa voce passar 
quaisquer opęóes que quiser para as impressoras CUPS servidas pelo servidor Samba. Por padrao, 
apenas raw esta configurado, o que permite que clientes do Windows usem seus próprios drivers de 



impressao. Impressoras em seu servidor Samba imprimem as paginas em que sao apresentadas na forma 
generica (raw). 

Ha varias opęóes desativadas com um caractere de comentario que voce pode considerar configurar. 
Configurar netbios name faz com que o nome configurado seja usado como o nome do host para o 
servięo Samba. Se isso nao for configurado, a parte host do nome do sistema de dominio totalmente 
qualificado e usada como o hostname. 

Se quiser restringir o acesso ao servidor Samba para que ele só responda em certas placas de rede, voce 
pode remover o comentario da linha interfaces e adicionar o endereęo IP ounome (lo, ethO, 
ethl etc.) das placas de rede que voce quer. 

\foce tambempode restringir o acesso ao servidor Samba para hosts especificos. Ative a linha hosts 
allow (removendo o ponto e virgula) e insira os endereęos IP dos hosts que voce quer permitir. Para 
inserir um intervalo de endereęos, simplesmente termine a parte sub-rede do endereęo, seguida por um 
ponto. Por exemplo, 127. esta associado a endereęos IP que apontampara o host local. Aentrada 
192.168.12. corresponde a todos os endereęos IP de 192.168.12.1 a 192.168.12.254. 

Configu rando a seęao [homes] 

A seęao [homes ] esta configurada, por padrao, para permitir que qualquer conta de usuario Samba 
possa acessar seu próprio diretório inicial atraves do servidor Samba. Aconfiguraęao browseable = 
no impede que o servidor Samba exiba a disponibilidade dos diretórios compartilhados. Usuarios que 
podem fornecer seu próprio nome de usuario e senha do Samba serao capazes de ler e gravar em seu 
próprio diretório inicial (writable = yes). Eis como se parece a entrada homes padrao: 

[homes] 

comment = Home Directories 
browseable = no 
writable = yes 

; valid users = %S 

; valid users = MYDOMAIN\%S 

Observe que dois exemplos das entradas valid users estao desativados comcaracteres de 
comentario. Comesse valor nao configurado (como esta por padrao), qualquer usuario valido pode fazer 
logonno Samba. Configura-lo como %S substitui o nome do servięo atual, o que permite qualquer usuario 
valido do servięo. \foce tambem pode limitar o acesso do usuario, indicando que apenas um determinado 
grupo de trabalho (dominio) pode ser usado para identificar usuarios que solicitam esse servięo. 

Se, depois de iniciar o servięo smb, voce nao for capaz de fazer login usando urna conta de usuario 
valida, voce pode precisar mudar alguns aspectos da seguranęa em seu sistema. Em sistemas Fedora e 
RHEL, em particular, recursos do SELinux precisam ser alterados para permitir que os usuarios acessem 
seus diretórios iniciais, se voce estiver no modo Enforcing do SELinux. 

Por exemplo, se voce tentasse usar o smbclient para fazer login em seu diretório inicial, o login teria 
sucesso, mas quando voce tentasse listar o conteudo do diretório, poderia ver a seguinte mensagem: 



NT_STATUS_ACCESS_DENIED listing \* 

A fim de dizer para o SELinux permitir que usuarios do Samba acessem seus diretórios iniciais como 
compartilhamentos Samba, voce precisa ativar os booleanos samba_enable_home_dirs digitando 
o seguinte, como root, a partir de um shell: 

# setsebool -P samba_enable_home_dirs on 

O comando setsebool ativa a capacidade do Samba de compartilhar diretórios (o que esta desativado 
por padrao). A forma para usar o comando smbclient a fim de verificar o acesso ao diretório inicial 
do usuario, novamente para o usuario chris, seria a seguinte (substituindo o endereęo IP pelo nome ou 
o endereęo de seu servidor Samba): 

$ smbclient -U chris //192.168.0.119/chris 
Enter chris's 

Domain=[DATAGRCUP] OS=[Unix] Server=[Santa 3.6.5-85.fcl€] 
smb: \> ls file.txt 

file.txt 149946368 Sun Apr 8 09:28:53 2012 

39941 blocks cf 3ize £24238. 28191 błocka available 

O principal ponto a lembrar e que, mesmo que o compartilhamento nao seja navegavel, voce pode 
solicita-lo fornecendo o nome ou endereęo IP do servidor Samba, seguido do nome do usuario (aqui, 
chris), para acessar o diretório inicial do usuario. 

Configu rando a seęao [printers] 

Qualquer impressora que voce configure para impressao CUPS em seu sistema Linux e automaticamente 
compartilhada comoutras no Samba, combase na seęao [printers ] , que e adicionada por padrao. A 
configuraęao global cups options = raw torna todas as impressoras genericas (o que significa que 
o cliente Windows precisa fornecer o driver de impressora para cada impressora compartilhada). 

Eis como se parece a seęao printers padrao no arquivo smb . conf: 

[printers] 

comment = Ali Printers 
path = /var/spool/samba 
browseable = no 

; guest ok = no 

; writable = No 

printable = yes 


printable = yes faz comque todas as suas impressoras CUPS no sistema local sejam 
compartilhadas pelo Samba. Impressoras sao gravaveis e permitem a impressao de convidados por 
padrao. \foce pode remover o caractere de comentario da linha guest ok = noeda linha 
writable = No, respectivamente, para alterar essas configuraęóes. 



Para ver as impressoras que estao disponiveis, voce pode executar o comando smbclient -L a partir 
de um sistema Linux, como mostrado anteriormente. Emum sistema Windows, voce pode selecionar 
Rede (NetWork) na janela do gerenciador de arquivos do Windows Explorer e selecionar o icone que 
representa seu servidor Samba. Todas as impressoras e pastas compartilhadas aparecemnessa janela. 
(Consulte a seęao “Acessando compartilhamentos Samba” neste capitulo para obter detalhes sobre como 
visualizar e usar impressoras compartilhadas.) 

Criando diretórios compartilhados personalizados 

Com a configuraęao basica de seu servidor Samba no lugar, voce pode comeęar a criar seęóes 
personalizadas para compartilhar impressoras e pastas especificas e protege-las como preferir. Para o 
primeiro exemplo, eis como se parece o compartilhamento criado na demonstraęao de system- 
conf ig-samba no inicio deste capitulo (chamado salesdata) no arquivo smb . conf: 

[salesdata] 

comment = Sales data for current year 
path = /var/salesdata 
read only = no 
; browseable = yes 
valid users = chris 

Antes de criar esse compartilhamento, o diretório /var/salesdata foi criado, com chris atribuido 
como o usuario e grupo, e o diretório foi configurado para ser legivel e gravavel por chris. (O contexto 
de arquivo do SELinux tambem devera ser configurado se o SELinux estiver no modo Enforcing.) O nome 
de usuario Samba chris deve ser apresentado junto com a respectiva senha para acessar o 
compartilhamento. Urna vez que chris esta conectado ao compartilhamento, chris temacesso de 
leitura e gravaęao nele (read only = no). 

Agora que voce ja viu as configuraęóes padrao para o Samba e um exemplo de um diretório simples 
compartilhado (pasta), leia as próximas seęóes para ver como configurar ainda mais os 
compartilhamentos. Em particular, os exemplos demonstram como disponibilizar compartilhamentos para 
determinados usuarios, hosts e placas de rede. 

Restringindo o acesso ao Samba por płaca de rede 

Para restringir o acesso a todos os seus compartilhamentos, voce pode definir a configuraęao global 
interfaces no arquivo smb . conf. O Samba e mais projetado para o compartilhamento de arquivos 
locais do que para o compartilhamento sobre redes remotas. Se seu computador tern urna płaca de rede 
conectada a urna rede local e urna conexao com a internet, considere permitir o acesso apenas a rede 
local. 

Para configurar as interfaces que Samba ouve, ative a linha interf aces na seęao [global] do 
arquivo smb . conf removendo seu caractere de comentario. Entao, adicione os nomes de płaca de rede 
ou intervalos de endereęos IP dos computadores aos quais voce quer permitir acesso a seu computador. 
Eis umexemplo: 



interfaces = lo 192.168.22.15/24 

Essa entrada interfaces permite acesso ao servięo Samba para todos os usuarios no sistema local 
(lo). Ela tambem permite acesso a todos os sistemas na rede 192.168.22. Veja a descrięao da pagina 
man de smb . conf sobre as diferentes formas de identificar hosts e placas de rede. 

Restringindo o acesso ao Samba por host 

O acesso de host ao servidor Samba pode ser configurado para todo o servięo ou por compartilhamentos 
individuais. A sintaxe usada e semelhante a de hosts . allow e hosts . deny no recurso TCP 
wrappers. Aqui, porem, as entradas hosts allow e hosts deny sao adicionadas diretamente ao 
arquivo smb. conf. 

Eis alguns exemplos das entradas hosts allow e hosts deny: 

hosts allow = 192.168.22. EXCEPT 192.168.22.99 
hosts allow = 192.168.5.0/255.255.255.0 
hosts allow = .example.com market.example.net 
hosts deny = evil.example.org 192.168.99. 

Essas entradas podem ser colocadas na seęao [ global ] ou emqualquer seęao de diretório 
compartilhado O primeiro exemplo permite acesso a qualquer maquina na rede 192.168.22., exceto 
192.168.22.99, a qual e negado. Notę que umponto e necessario no firn do numero da rede. O exemplo 
192.168.5.0/255.255.255.0 usa a notaęao de mascara de rede para identificar 192.168.5 como o conjunto 
de endereęos que sao permitidos. 

Na terceira linha do código de exemplo, qualquer host da rede. example . com e permitido, assimcomo 
e o host market. example . net individual. O exemplo hosts deny mostra que voce pode usar a 
mesma forma para identificar nomes e endereęos IP a firn de impedir o acesso de certos hosts. 

Restringindo o acesso ao Samba por usuario 

Usuarios e grupos particulares do Samba podem ter acesso a compartilhamentos espedficos do Samba 
identificando esses usuarios e grupos dentro de umcompartilhamento no arquivo smb . conf. Alemde 
usuarios convidados, os quais voce pode ou nao permitir, a autenticaęao de usuario padrao para o Samba 
requer que voce adicione urna conta de usuario do Samba (Windows) que mapeia para urna conta de 
usuario local no Linux. 

Para permitir que um usuario acesse o servidor Samba, voce precisa criar urna senha para o usuario. Eis 
um exemplo de como adicionar urna senha do Samba ao usuario j im: 

# smbpasswd -a jim 

New SMB password: ******* 

Retype new SMB password: ******* 

Depois de executar o comando smbpasswd, j im pode usar esse nome de usuario e senha para acessar 
o seryidor Samba. O arquivo /var/lib/samba/private/passdb . tdb armazena a senha 



inserida para j im. Depois disso, o usuario j im pode alterar a senha simplesmente digitando 
smbpasswd ąuando ele estiver conectado. O usuario root pode alterar a senha executando novamente o 
comando mostrado no exemplo, mas descartando a opęao -a. 

Se ąuiser dar acesso a umcompartilhamento de j im, voce pode adicionar urna linha devalid users 
a esse bloco compartilhado no arquivo smb . conf . Por exemplo, para fornecer tanto a chris como a 
j im acesso a um compartilhamento, voce pode adicionar a seguinte linha: 

valid users = jim, chris 

Se a opęao read only estiver configurada como no para o compartilhamento, os usuarios poderiam 
gravar arquivos no compartilhamento (dependendo das permissdes de arquivo). Se read only estiver 
configurado como yes, voce ainda pode permitir acesso a j im e chris para gravar arquivos, 
adicionando urna linha write list da seguinte maneira: 

write list = jim, chris 

A lista de gravaęao pode conter grupos (isto e, grupos do Linux contidos no arquivo /etc/group) para 
dar permissao de gravaęao a qualquer usuario Linux que pertenęa a um determinado grupo Linux. \bce 
pode adicionar permissao de gravaęao a um grupo, colocando um sinal de mais (+) na frente de umnome. 
Por exemplo, a linha seguir adiciona acesso de gravaęao ao grupo market para o compartilhamento a 
que esta linha esta associada: 

write list = jim, chris, łmarket 

Ha muitas maneiras de mudar e estender os recursos de compartilhamento do Samba. Para mais 
informaęóes sobre a configuraęao do Samba, nao deixe de examinar o arquivo smb . conf (que inclui 
muitos comentarios uteis) e a pagina man do smb . conf. 


Acessando compartilhamentos do Samba _ 

Depois de ter criado alguns diretórios compartilhados no Samba, ha muitas ferramentas de cliente 
disponiveis no Linux e no Windows para acessar esses compartilhamentos. Ferramentas de linha de 
comando no Linuxincluemo comando smbclient, demonstrado anteriormente neste capitulo. Para 
meios graficos de acessar compartilhamentos, voce pode usar os gerenciadores de arquivos disponiveis 
no Windows (Windows Explorer) e Linux (Nautilus, como desktop GNOMĘ). 

Acessando compartilhamentos do Samba no Linux 

Abrir um gerenciador de arquivos no Linux pode fornecer-lhe acesso aos diretórios compartilhados do 
Linux (Samba) e do Windows (SMB). \bce acessa o gerenciador de arquivos de forma diferente em 
diferentes desktops Linux. No GNOMĘ 3, voce pode clicar no icone Files. Emoutros desktops, abra a 
pasta Home. 




Como gerenciador de janelas Nautilus exibido, procure uma seleęao Browse NetWork no painel 
esąuerdo ou selecione Go => NetWork no menu. Os servidores de rede dispomveis na rede local devem 
aparecer, como mostrado na Figura 19.6. 

Como servidor Samba exibido (chamado MYSERVER aqui), de umduplo clique no icone desse seryidor. 
Quaisquer compartilhamentos navegaveis (browseable) devem aparecer na janela. De umclique duplo 
em um compartilhamento. Se ele for acessiyel a guest, o compartilhamento sera aberto. Se a 
autenticaęao do usuario for necessaria, adicione o nome de usuario e senha, conforme solicitado. 
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lise compartilhamentos do Samba a partir do Nautilus. 


Se o usuario e a senha forem aceitos, voce deve ver o conteudo do diretório remoto. Se tiver acesso de 
gravaęao ao compartilhamento, voce pode abrir outra janela do Nautilus e arrastar e soltar arquivos entre 
os dois sistemas. 

Se urna parte nao for navegavel, voce pode di gitar o endereęo do compartilhamento na janela do 
Nautilus. Escolha File => Connect to Server e selecione Windows Share como o Type. Preencha as 
informaęóes necessarias para se conectar ao compartilhamento. Na Figura 19.7, o usuario chris tenta 
se conectar ao diretório inicial no servidor Samba MYSERYER. 
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do compartilhamentos do Samba a partir de Connect to Server no Nautilus. 


Nesse ponto, o diretório inicial de chris deve aparecer no Nautilus do cliente Linux. Dependendo das 
permissóes de acesso, voce deve ser capaz de arrastar e soltar arquivos entre o sistema local e o 
servidor Samba. 

Urna vez que um diretório compartilhado do Samba pode ser visto como um sistema de arquivos remoto, 
voce pode usar as ferramentas do Linux para se conectar a um compartilhamento do Samba (temporaria 
ou permanentemente) para seu sistema Linux. Usando o comando mount padrao, voce pode montar um 
compartilhamento Samba remoto como um sistema de arquivos CIFS em Linux. Esse exemplo monta o 
compartilhamento salesdata do hostno endereęo IP 192.168.0.119 sobre o diretório local 
/mnt/sales: 

# mkdir /mnt/sales 

# mount -t cifs -o user=chris //192.168.0.119/salesdata /mnt/sales 
Password: ******* 

# ls /mnt/sales 

hosts services 

Quando solicitado, digite a senha do Samba para chris. Dado que o usuario chris nesse exemplo tern 
permissao de leitura-gravaęao sobre o diretório compartilhado, usuarios em seu sistema devem ser 
capazes de ler e gravar no diretório montado. Independentemente de quem salva os arquivos no diretório 
compartilhado, no servidor esses arquivos pertencerao ao usuario chris. Essa montagemdura ate que o 
sistema seja reiniciado ou que voce execute o comando umount no diretório. Se quiser que o 
compartilhamento seja montado permanentemente (ou seja, cada vez que o sistema inicializa) no mesmo 
local, voce pode fazer urna configuraęao adicional. Primeiro, abra o arquivo /etc/f stab e adicione 
urna entrada semelhante a seguinte: 

//192.168.0.119/salesdata /mnt/sales cifs credentials=/root/cif.txt 
0 0 

Entao, crie umarquivo de credenciais (neste exemplo, /root/cif . txt). Nesse arquivo, coloque o 
nome do usuario e a senha que voce quer apresentar quando o sistema tenta montar o sistema de arquivos. 
Eis umexemplo do conteudo desse arquivo: 

user=chris 

pass=a 


Antes de reiniciar para verificar se a entrada esta correta, tente monta-la a partir da linha de comando. O 
comando mount -a tenta montar qualquer sistema de arquivos listados no arquivo /etc/f stab que 




ainda nao esta montado. O comando df mostra informaęóes sobre espaęo em disco para o diretório 
montado. Por exemplo: 

# mount -a 

# df -h /mnt/sales 

Filesystem Size Used Avail Ues% Mounted on 

//192.169.0.11&/salesdata 20G 5.7G 14G 30% /mnt/sales 

Agora voce deve ser capaz de usar o diretório Samba compartilhado como voce usa qualquer diretório 
no sistema local. 

Acessando compartilhamentos do Samba no Windows 

Tal como acontece como Linux, voce pode acessar compartilhamentos do Samba a partir da janela do 
gerenciador de arquivos, neste caso, o Windows Explorer. Para fazer isso, abra qualquer pasta no 
Windows e selecione Rede no painel esquerdo. Um icone que representa o servidor Samba deve 
aparecer na tela. Clique nesse icone e digite urna senha, se solicitado a inserir urna. \bce devera ver 
todas as impressoras e pastas compartilhadas do seryidor (ver Figura 19.8). 
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;ando compartilhamentos do Samba a partir do Windows. 


Na Figura 19.8, voce pode ver que ha duas pastas compartilhadas (diretórios): chris e salesdata. 
Tambemha varias impressoras compartilhadas. Para usar as pastas, clique duas vezes nelas e insira as 
informaęóes de autenticaęao necessarias. Como as impressoras sao configuradas para usar os drivers 
genericos (raw drivers) por padrao, voce precisara obter os drivers do Windows para usar qualquer urna 
das impressoras do Samba. 


Usando o Samba na empresa _ 

Embora fora do escopo deste livro, o compartilhamento de arquivos e impressoras Windows atrayes de 
servidores Samba e urna aplicaęao muito popular em grandes empresas. Apesar de o Linux ter crescido 
enormemente no mercado de servidores corporativos, os sistemas Microsoft Windows ainda sao os 
sistemas desktop predominantes utilizados no mundo corporativo. 

Os principais recursos necessarios para integrar servidores Samba em urna grandę empresa com muitos 
desktops Microsoft Windows estao relacionados com a autenticaęao. A maioria das grandes empresas 
usa servidores Microsoft Active Directory (ADS) para autenticaęao. No lado do Linux, isso significa 
configurar Kerberos sobre o sistema Linux e usar o ADS (em vez de usuario) para o tipo de seguranęa no 
arquivo smb . conf. 

Avantagemda autenticaęao central e que os usuarios tern de se lembrar de apenas umconjunto de 
credenciais por toda a empresa e os administradores de sistemas precisam gerenciar menos contas de 
usuario e senhas. Se voce estiver interessado eminyestigar mais o tema, recomendo que leia a pagina 
Samba & Active Directory no wiki em Samba.org: 

http://wiki.samba.org/index.php/Samba_&_Active_Directory 


Resumo 


Por causa da popularidade de desktops Windows, seryidores Samba tornaram-se populares para 
compartilhamento de arquivos e impressoras entre sistemas Windows e Linux. O Samba fornece ummodo 
de interagir com sistemas Windows por meio do aplicativo Server Message Błock (SMB) ou o protocolo 
Common Internet File (CIFS) para o compartilhamento de recursos atrayes de urna rede. 

Este capitulo percorreu o processo de instalar, inicializar, proteger, configurar e acessar seryidores 
Samba em um sistema Linux. Tanto as ferramentas graficas como as de linha de comando podem ser 
usadas para configurar um seryidor Samba e chegar a ele a partir de sistemas Linux e Windows. 

O próximo capitulo descreye o recurso NetWork File System (NFS). O NFS e umrecurso natiyo do Linux 






para compartilhar e montar sistemas de arquivos em redes com outros sistemas Linux e UNIX. 


Exercicios 


Os exercicios desta seęao descrevem tarefas relacionadas a configurar um servidor Samba no Linux e 
acessar o servidor usando um cliente Samba. Como de costume, muitas vezes ha varias maneiras de 
realizar algumas das tarefas aqui. Entao, nao se preocupe se voce nao resolver os exerdcios exatamente 
da mesma maneira como se faz nas respostas, desde que voce obtenha os mesmos resultados. Consulte o 
Apendice B para obter as soluęóes sugeridas. 

Nao faęa esses exerricios em um sistema Linux rodando um servidor Samba, porque eles quase 
certamente irao interferir nesse servidor. Esses exercicios foram testados em um sistema Fedora. Alguns 
dos passos podem ser ligeiramente diferentes em outro sistema Linux. 

1 - Instale os pacotes samba, samba-client e samba-doc. 

2 - Inicie e habilite os servięos smb e nmb. 

3 - Configure o grupo de trabalho do servidor Samba como TESTGROUP, o netbios name 
como MYTEST e a stringdo servidor como Samba Test System. 

4 - Adicione um usuario Linux chamado phil ao seu sistema e adicione urna senha Linux e 
urna senha do Samba a phil. 

5 - Defina a seęao [homes ] de modo que os diretórios iniciais sejamnavegaveis 
(browseable=yes) e gravaveis (writable=yes) e phil seja o unico usuario valido. 

6 - Defina qualquer booleano do SELinux que seja necessario para fazer phil acessar o 
diretório inicial dele por meio de um cliente Samba. 

7 - Apartir do sistema local, use o comando smbclient para listar que o compartilhamento 
homes esta disponivel. 

8 - Apartir de urna janela do Nautilus (gerenciador de arquivos) no sistema local, conecte-se 
ao compartilhamento homes para o usuario phil no servidor Samba local de urna forma 
que permita que voce arraste e solte arquivos para essa pasta. 

9 - Abra o firewall de modo que qualquer pessoa que tenha acesso ao servidor possa acessar o 
servięo Samba (daemons smbd e nmbd). 

10 - A partir de outro sistema em sua rede (Windows ou Linux) tente abrir o compartilhamento 
homes novamente como o usuario phil e novamente se certifique de que voce pode 
arrastar e soltar arquivos para ele. 




CAPITU^g 


Configurando um servidor de arquivos NFS 


NESTE CAPITULO 

Obtendo software de servidor NFS 

Ativando e iniciando o NFS 

Exportando diretórios NFS 

Configurando recursos de seguranęa para o NFS 

Montando diretórios NFS compartilhados remotos 

E m vez de representar os dispositivos de armazenamento como letras de unidade (A, B, C etc.), 

como ocorre em sistemas operacionais Microsoft, o Linux conecta-se transparentemente a sistemas 
de arquivos a partir de varios discos rigidos, disąuetes, CD-ROMs e outros dispositivos locais 
para formar um sistema de arquivos Linux unico. O recurso NetWork File System (NFS) permite estender 
seu sistema de arquivos Linux para conectar sistemas de arquivos em outros computadores na sua 
estrutura de diretórios local. 

Um servidor de arquivos NFS fornece urna maneira facil de compartilhar grandes quantidades de dados 
entre usuarios e computadores em urna organizaęao. Um administrador de um sistema Linux que e 
configurado para compartilhar seus sistemas de arquivos usando NFS tern de realizar as seguintes tarefas, 
para configurar NFS: 

1 - Configurar a rede. O NFS e normalmente usado emredes locais privadas, emoposięao as 
redes publicas, tais como a internet. 

2 - Iniciar o servięo NFS. Varios daemons de servięo precisam ser inicializados e executados 
para ter umpleno funcionamento do servięo NFS. No Fedora, voce pode iniciar o servięo 
nf s-server; no Red Hat Enterprise Linux, voce pode iniciar o servięo nf s. 

3 - Escolher o que compartilhar a partir do servidor. Decida quais sistemas de arquivos em 
seu servidor NFS Linux voce quer disponibilizar para outros computadores. \bce pode 
escolher qualquer ponto do sistema de arquivos e tornar todos os arquivos e diretórios 
abaixo desse ponto acessiveis para outros computadores. 

4 - Configurar a seguranęa no servidor. Voce pode usar varios recursos de seguranęa 
diferentes para aplicar o nivel de seguranęa como qual voce se sente confortavel. A 



seguranęa no nivel de montagem permite que voce restrinja os computadores que podem 
montar um recurso e, para aqueles autorizados a monta-lo, permite que voce especifique se 
ele pode ser montado como leitura/grayaęao ou somente leitura. No NFS, a seguranęa no 
nivel de usuario e implementada mapeando usuarios de sistemas cliente para usuarios no 
servidor NFS (combase no UID e nao no nome de usuario), de modo que eles possam 
confiar nas permissóes de leitura/gravaęao/execuęao padrao do Linux, posse de arquivos e 
permissóes de grupo para acessar e proteger arquivos. 

5 - Montar o sistema no cliente. Cada computador cliente que tempermissao para acessar o 
seryidor NFS do sistema de arquivos compartilhado pode monta-lo em qualquer lugar que o 
cliente escolher. Por exemplo, yoce pode montar um sistema de arquivos de um computador 
chamado mapie no diretório /mnt/maple em seu sistema de arquivos local. Depois que 
ele esta montado, voce pode yisualizar o conteudo desse diretório digitando ls 
/mnt/maple. Entao, voce pode usar o comando cd, abaixo do ponto de montagem 
/mnt/maple, para ver os arquivos e diretórios que ele contem. 

A Figura 20.1 ilustra um seryidor de arquivos Linux usando o NFS para compartilhar (export) um sistema 
de arquivos e um computador cliente montando o sistema de arquivos para disponibiliza-lo para seus 
usuarios locais. 
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S pode disponibilizar sistemas de arquivos selecionados para outros computadores. 


Nesse exemplo, umcomputador chamado oakdisponibiliza seudiretório /apps/bin para os clientes 
da rede (pine, mapie e spruce), adicionando urna entrada ao arquivo /etc/exports. O computador 
cliente (pine) ve que o recurso esta dispomvel e monta-o em seu sistema de arquivos local no ponto de 
montagem /oak/apps, depois que todos os arquivos, diretórios ou subdiretórios de /apps/bin em 
oakestao disponiveis para os usuarios empine (dadas as permissoes adequadas). 

Embora seja muitas vezes usado como um servidor de arquivos (ou outro tipo de servidor), o Linux e um 
sistema operacional de propósito geral, de modo que qualquer sistema Linux pode compartilhar sistemas 
de arquivos (export) como um servidor ou usar sistemas de arquivos de outro computador (mount) como 
um cliente. 


ta 

sistema de arquivos e geralmente uma estrutura de arquivos e diretórios que ha em um dispositivo individual 
o uma partięao do disco rfgido ou CD-ROM). 0 termo sistema de arquivos Linux refere-se a estrutura de 
órios inteira (o que pode incluir sistemas de arquivos de varios discos, NFS ou uma variedade de recursos de 
), comeęando na raiz (/) de um computador individual. Um diretório compartilhado em NFS pode representar 
o ou parte do sistema de arquivos de um computador, o qual pode ser anexado (a partir do diretório 
partilhado para baixo na arvore de diretórios) ao sistema de arquivos de outro computador. 


Instalando um servidor NFS 


Para executar umservidor NFS, voce precisa de umconjunto de módulos do kernel (que sao entregues 
com o próprio kernel) mais algumas ferramentas de nrvel de usuario para configurar o servięo, executar 
processos daemon e consultar o servięo de varias maneiras. Todos os componentes necessarios que ainda 
nao estao no kernel podemser adicionados instalando o pacote nf s-utils: 

# yum install nfs-utils 

Alemde alguns documentos no diretório /usr/share/doc/nfs-utils*, a maior parte da 
documentaęao no pacote nfs-utils inclui paginas manpara seus varios componentes. Para ver uma 
listagemda documentaęao, digite o seguinte: 

# rpm -qd nfs-utils | less 


Ha ferramentas e paginas man tanto para o lado servidor NFS (para compartilhar um diretório com os 
outros) como para o lado cliente (para montar um diretório NFS remoto localmente). Para configurar um 








servidor, voce pode consultar a pagina man (a fimde configurar o arquivo /etc/exports para 
compartilhar seus diretórios). A pagina man do comando exportf s descreve como compartilhar e ver 
urna listagemde diretórios que voce compartilha a partir do arquivo /etc/exports. Apagina man de 
nf sd descreve as opęoes que voce pode passar para o daemon de servidor rpc . nf sd, que permite 
que voce faęa coisas como executar o servidor em modo de depuraęao. 

Paginas man no lado do cliente incluem a pagina man mount. nf s (para ver quais opęóes de montagem 
voce pode usar ao montar diretórios NFS remotos em seu sistema local). Tambemha urna pagina man 
nfsmount. conf que descreve como usar o arquivo /etc/nfsmount. conf para configurar como 
o sistema se comporta quando voce monta recursos remotos localmente. Apagina man de showmount 
descreve como usar o comando showmount para ver quais diretórios compartilhados estao disponiveis 
a partir de servidores NFS. 

Para saber mais sobre o pacote nfs-utils, voce pode executar os comandos a seguir a fimde ver as 
informaęóes sobre o pacote, os arquivos de configuraęao e os comandos, respectivamente: 

# rpm -qi nfs-utils 

# rpm -qc nfs-utils 

# rpm -ql nfs-utils | grep bin 

Iniciando o sen/ięo NFS 

Iniciar o servidor NFS envolve carregar diversos daemons de servięo. O servięo e iniciado de forma 
diferente para diferentes distribuięóes Linux. O servięo NFS basico no Fedora chama-se nf s-server. 
Para iniciar esse servięo, habilite-o (de modo que ele inicie sempre que seu sistema inicializar) e 
verifique o status executando os tres seguintes comandos: 


♦ aysŁaoact-l n£a- mmcvmt. mmrviam 

I ayaŁMKtl wabi* nft-a*mt.a*cvica 
I ayataKtl atatua nfa-a*rv*r.••rvica 

ayit4mctl atatua nfi-a«mi.a*tvica 
nfa-a*tx vme . aarvioa * KFS S*rv*c 

Loaniad: loadad (/lib/ayatand/iyat«a/nfa*Mrv<tt.aMivlc«i; anabladl 
Activ*: *ct 1 vm (zunnlng) alnc* Sat« 2 Juo 2012 08:40:25 -0400; 
lh 2Bnin a90 

Maln PIO: 7787 (epc.nountd) 

CCsoup: n*ła*~ayat*ad: /ayat«Ma/ofa-aarv«r .aatvlca 
7767 /uat/abln/rpc.aouRtd 

\bce pode ver a partir do status que o servięo nf s-server esta habilitado e ativo. O servięo NFS 
tambemexige que o servięo RPC esteja emexecuęao (rpcbind). O servięo nf s-server iniciara 
automaticamente o servięo rpcbind, se ele nao estiver emexecuęao. 

No Red Hat Enterprise Linux 6, voce precisa dos comandos service e chkconf ig para verificar, 
iniciar e ativar o servięo NFS (nf s). Os comandos a seguir mostramque o servięo nf s nao esta sendo 
executado e esta desativado atualmente: 

# service nfs status 

rpc.svcgssd is stopped 
rpc.mountd is stopped 
nfsd is stopped 




# chkconfig --list nfs 

nfs 0:off l:off 2:off 3:off 4:off 5:off 6:off 

Como mencionado anteriormente, o servięo rpcbind deve estar emexecuęao para o NFS funcionar. 
Assim, voce podera usar os seguintes comandos para iniciar e permanentemente habilitar os servięos 

rpcbind e nfs. 

# service rcpbind start 


Starting rpcbind: [ OK ] 

# service nfs start 

Starting NFS services: [ OK ] 

Starting NFS ąuotas: [ OK ] 

Starting NFS daemon: [ OK ] 

Starting NFS mountd: [ OK ] 

# chkconfig nfs on 


Urna vez que o servięo esta sendo executado, os comandos (mount, exportf s etc.) e arquivos 
(/etc/exports /etc/f stab, etc.) para realmente configurar o NFS sao basicamente os mesmos 
em todos os sistemas Linux. Entao, depois que voce tern o NFS instalado e funcionando, basta seguir as 
instruęóes neste capitulo para comeęar a utiliza-lo. 


Compartilhando sistemas de arquivos NFS _ 

Para compartilhar um sistema de arquivos NFS a partir de seu sistema Linux, voce precisa exporta-lo a 
partir do sistema do servidor. A exportaęao e realizada no Linux adicionando entradas ao arquivo 
/etc/exports. Cada entrada identifica umdiretório emseu sistema de arquivos local que voce quer 
compartilhar comoutros computadores. A entrada tambem identifica os outros computadores que podem 
compartilhar o recurso (ou abri-lo para todos os computadores) e inclui outras opędes que refletem 
permissóes associadas com o diretório. 

Lembre-se de que quando voce compartilha um diretório, tambem esta compartilhando todos arquivos e 
subdiretórios abaixo desse diretório (por padrao). Entao, voce precisa certificar-se de que quer 
compartilhar tudo nessa estrutura de diretórios. Ha ainda maneiras de restringir o acesso dentro dessa 
estrutura de diretórios; isso e discutido mais adiante, neste capitulo. 


ta 

edora, ha uma janela NFS Server Configuration que voce pode instalar digitando yum install system- 
f ig-nf s (o comando para abrir a janela e o mesmo nome do pacote). Essa janela pode ajudar a configurar 
3S no arquivo /etc/exports, e tambem pode ajuda-lo a fazercoisas mais complicadas, como bloquearum 
ęo em portas especificas e configurar o acesso dos usuarios. 









fRA 20.2 


ela NFS Server Configuration (system-conf ig-nf s) fornece uma maneira grafica de configurar 

:os NFS. 

> 


Configurando o arquivo etc/exports 

Para disponibilizar um diretório de seu sistema Linux para outros sistemas, voce precisa exportar o 
diretório. A exportaęao e realizada em carater permanente, adicionando informaęóes sobre um diretório 
exportado ao arquivo /etc/exports. 

O formato do arquivo /etc/exports e 

Diretório Host(Opęóes ...) Host(Opęóes ...) # Comentarios 

onde diretório e o nome do diretório que voce quer compartilhar e Host indica o computador do cliente 
oara o qual o compartilhamento desse diretório e restrito. Opęóes podem incluir uma variedade de 
opęóes para definir as medidas de seguranęa associadas ao diretório compartilhado do host. (\óce pode 
repetir pares Host/Option.) Comentarios sao quaisquer comentarios opcionais que voce queira 
adicionar (após o sinal #. 

Apagina man exports (man exports) contem detalhes sobre a sintaxe do arquivo 
/etc/exports. Em particular, voce pode ver as opęóes que pode usar para limitar o acesso e 
proteger cada diretório compartilhado. 

Como usuario root, voce pode usar qualquer editor de texto para configurar o arquivo /etc/exports 
a firn de modificar as entradas de diretório compartilhadas ou adicionar novas. Eis umexemplo de um 
arquivo /etc/exports: 

/cal *.linuxtoys.net(rw) # Company events 

/pub *(ro,insecure,all_squash) # Public dir 

/home mapie(rw,root_squash) spruce(rw,root_squash) 

Aentrada / cal representa um diretório que contem informaęóes sobre os eventos relacionados coma 
empresa. Qualquer computador no dominio da empresa (* . linuxtoys . net) pode montar esse 
compartilhamento NFS. Os usuarios podem gravar arquivos no diretório, bemcomo le-los (indicado pela 
opęao rw). O comentario (# Company events) simplesmente serve para lembra-lo do que o 
diretório contem 

Aentrada /pub representa um diretório publico. Ela permite que qualquer computador e usuario leia 
arquivos do diretório (indicado pela opęao ro), mas nao gravar arquivos). A opęao insecure permite 
que qualquer computador, mesmo que nao use uma porta NFS segura, acesse o diretório. A opęao 




all_squash faz comque todos os usuarios (UIDs) e grupos (GIDs) sejammapeados para o usuario ID 
65534 (que e o usuario nf snob ody no Fedora e o usuario nobody no Ubuntu), dando-lhes permissao 
minima sobre arquivos e diretórios. 

Aentrada /home permite que umconjunto de usuarios tenha o mesmo diretório /home em 
computadores diferentes. Digamos, por exemplo, que voce esta compartilhando /home a partir de um 
computador chamado oak. Os computadores chamados mapie e spruce poderiam montar esse diretório em 
seus próprios diretórios /home. Se der a todos os usuarios o mesmo nome de usuario/UID emtodas as 
maquinas, voce pode ter o mesmo diretório /home/user disponivel para cada usuario, 
independentemente do computador a que ele esta conectado. root sąuash e usado para impedir que o 
usuario root de outro computador tenha privilegios de root sobre o diretório compartilhado. 

Esses sao apenas exemplos, voce pode compartilhar todos os diretórios que escolher, incluindo o sistema 
de arquivos inteiro (/). Obviamente, ha implicaęóes de seguranęa em compartilhar o sistema de arquivos 
inteiro oupartes sensiveis dele (como /etc). As opędes de seguranęa que voce pode adicionar ao seu 
arquivo /etc/exports sao descritas nas seęóes que seguem. 

Hostnames em /etc/exports 

\bce pode indicar no arquivo /etc/exports os computadores host que podemter acesso ao seu 
diretório compartilhado. Se voce quiser associar varios nomes de host ou endereęos IP com um 
determinado diretório compartilhado, certifique-se de ter umespaęo antes de cada hostname. Mas nao 
inclua espaęos entre um hostname e suas opęóes. Por exemplo: 

/usr/local mapie(rw) spruce(ro,root_squash) 

Notę que ha umespaęo depois de (rw), mas nenhumdepois de mapie. \hce pode identificar hosts de 
varias maneiras: 

■ Host individual — Digite um ou mais hostnames TCP/IP ou endereęos IP. Se o host estiver em seu 

dominio local, voce pode simplesmente indicar o nome do host. Caso contrario, use o formato 
completo host. domain. Essas sao maneiras validas para indicar os computadores host 
individuais: 

mapie 

mapie.handsonhistory.com 

10 . 0 . 0.11 

■ Re de IP — Permite o acesso a todos os hosts de um endereęo de rede especifico indicando um 

numero de rede e sua mascara, separados por urna barra (/). Aqui estao formas validas de 
designar numeros de rede: 

10 . 0 . 0 . 0 / 255 . 0 . 0.0 172 . 16 . 0 . 0 / 255 . 255 . 0.0 

192 . 168 . 18 . 0 / 255 . 255 . 255.0 

192 . 168 . 18 . 0/24 

■ TCP/IP de dominio — Usando curingas, voce pode incluir todos ou alguns computadores host de 

um nivel a partir de dominio especifico. Eis alguns usos yalidos dos curingas asterisco e ponto de 



interrogaęao: 

*.handsonhistory.com 
*craft.handsonhistory.com 
? ? ?.handsonhistory.com 

O primeiro exemplo identifica todos os hosts no dominio handsonhistory. com. O segundo 
exemplo identifica woodcraft, basketcraft ou quaisquer outros hostnames terminando em 
craf t no dominio handsonhistory. com. O ultimo exemplo identifica qualquer hostname 
de tres letras no dominio. 

■ Grupos NIS — \óce pode permitir acesso a hosts contidos emum grupo NIS. Para indicar um 

grupo NIS, preceda o nome do grupo comum sinal de arroba (@) (por exemplo, @group). 

Opęóes de acesso em /etc/exports 

\óce nao temque apenas dar seus arquivos e diretórios quando exporta umdiretório como NFS. Na 
parte opęóes de cada entrada no arquivo /etc/exports, voce pode adicionar opęóes que permitem 
ou limitam o acesso por meio da criaęao de leitura/gravaęao. Essas opęóes, que sao passadas para o 
NFS, sao como segue: 

■ ro — O cliente pode montar esse sistema de arquivos somente leitura exportado. O padrao e 

montar o sistema de leitura/gravaęao. 

■ rw — Solicita explicitamente que um diretório compartilhado seja compartilhado compermissóes 

de leitura/gravaęao. (Se o cliente optar, ele pode ainda montar o diretório como somente leitura.) 

Opęóes de mapeamento de usuario em /etc/exports 

Alem de opęóes que definem como as permissóes sao tratadas de maneira geral, voce pode usar as 
opęóes para configurar as permissóes que usuarios especificos tern sobre sistemas de arquivos NFS 
compartilhados. 

Um metodo que simplifica esse processo e fazer comque cada usuario comvarias contas de usuario 
tenham o mesmo nome de usuario e UID em cada maquina. 

Isso torna mais facil mapear os usuarios para que eles tenham as mesmas permissóes sobre um sistema de 
arquivos montado que eles tern sobre arquivos armazenados em seus discos rigidos locais. Se esse 
metodo nao for conveniente, IDs de usuario podem ser mapeados de muitas outras maneiras. Eis alguns 
metodos de definięao de permissóes de usuario e a opęao /etc/exports que voce usa para cada 
metodo: 

■ usuario root — O usuario root do cliente e mapeado por padrao para o nome de usuario 

nf snobody (UID 65534). Isso impede que o usuario root de umcomputador cliente seja capaz 
de alterar todos os arquivos e diretórios no sistema de arquivos compartilhados. Se voce quiser 
que o usuario root do cliente tenha permissao de root no servidor, use a opęao 

no root sąuash. 



:a 

a em mente que mesmo que root seja restringido, o usuario root do cliente ainda pode se transformar em 
quer outra conta de usuario e acessar arquivos dessas contas no servidor. Portanto, fique ciente de que voce esta 
ando a roottodos os seus dados de usuario antes de compartilha-lo com permissóes de leitura/gravaęao com 
liente. 


■ nfsnobody ou usuario/grupo nobody — Ao usar o ID de usuario e o ID grupo 65534, 

essencialmente voce cria urna permissao de usuario/grupo com permissóes que nao concedem o 
acesso a arquivos que pertencem a todos os usuarios reais no servidor, a menos que esses 
usuarios abrampermissóes para todos. Mas os arquivos criados pelo usuario ou grupo 65534 
estao disponiveis para qualquer pessoa que tenha sido atribuida ao usuario ou grupo 65534. 
Para configurar todos os usuarios remotos para o usuario/grupo 65534, use a opęao 
all_squash. 

Os UIDs e GIDs 65534 sao usados para impedir que o ID execute para um usuario ou grupo 
valido ID. Usando as opęóes anonuid ou anongid, voce pode alterar o usuario ou grupo 
65534, respectivamente. Por exemplo, anonuid=175 configura todos os usuarios 
anonymous como UID 175 e anongid=3 0 0 configura o GID como 300. (Apenas o numero e 
exibido quando voce lista a permissao de arquivo, a menos que voce adicione entradas com 
nomes a / etc/password e /etc/group para os novos UIDs e GIDs.) 

■ Mapeamento de usuario — Se um usuario tiver contas de login para um conjunto de 

computadores (e tern o mesmo ID), o NFS, por padrao, mapeia esse ID. Isso significa que se o 
usuario chamado mikę (UID 110) no computador mapie tiver urna conta no computador pine 
(mikę, UID 110), ele pode usar seus próprios arquivos remotamente montados em qualquer 
computador a partir de qualquer computador. 

Se um usuario cliente que nao esta configurado no servidor criar um arquivo no diretório NFS 
montado, o arquivo recebera o UID e o GID do cliente remoto. (O comando ls -1 no servidor 
mostra o UID do proprietario.) Use a opęao map static para identificar umarquivo que 
contem mapeamentos de usuario. 

Exportando os sistemas de arquivos compartilhados 

Depois de ter adicionado as entradas a seuarquivo /etc/exports, execute o comando exportfs 
para ter os diretórios exportados (disponivel para outros computadores na rede). Reinicie o computador 
oureinicie o servięo NFS e o comando exportf s e executado automaticamente para exportar seus 
diretórios. Se voce quiser exporta-los imediatamente, execute exportf s partir da linha de comando 
(como root). 


:a 

utar o comando exportf s depois de alterar o arquivo exports e uma boa ideia. Se houver algum erro no 









ivo, exportf s ira identifica-lo paravoce. 


Eis umexemplo do comando exportf s: 


# /usr/sbin/exportfs -a 

exporting mapie:/pub 
exporting spruce:/pub 
exporting mapie:/home 
exporting spruce:/home 
exporting *:/mnt/win 


-r 


-v 


Aopęao -a indica que todos os diretórios listados em /etc/exports devemser exportados. -r 
ressincroniza todos os exports como arquivo /etc/exports atual (desativando as exportaę5es nao 
listadas no arquivo). Aopęao -v imprime urna saida detalhada. Nesse exemplo, os diretórios /pub e 
/home do servidor local sao imediatamente disponibilizados para montagempelos computadores 
clientes que sao nomeados (mapie e spruce). O diretório /mnt/win esta disponivel para todos os 
computadores clientes. 


Protegendo seu servidor NFS 

A instalaęao NFS foi criada em urna epoca em que criptografia e outras medidas de seguranęa nao eram 
rotineiramente integradas em servięos de rede (como login remoto, compartilhamento de arquivos e 
execuęao remota). Portanto, o NFS (mesmo na versao 3) sofre comalguns problemas de seguranęa 
gritantes. 

Quest5es de seguranęa tornaram o NFS um recurso inadequado para usar em redes publicas e ate 
dificultaram sua utilizaęao segura dentro de urna organizaęao. Algumas dessas quest5es foram: 

■ Usuarios root remotos — Mesmo como padrao root sąuash (que impede que os usuarios 

root tenham acesso de root a partes remotas), o usuario root em qualquer maquina com que voce 
compartilha diretórios NFS pode ter acesso a qualquer outra conta de usuario. Portanto, se voce 
estiver fazendo algo como compartilhar diretórios com permissao de leitura/gravaęao, o usuario 
root em qualquer diretório que voce esta compartilhando tera acesso completo ao conteudo 
desses diretórios. 

■ Comunicaęoes nao criptografadas — Como o trafego NFS nao e criptografado, alguem 

espionando sua rede sera capaz de ver os dados que estao sendo transferidos. 

■ Mapeamento de usuario — Permissóes padrao para o compartilhamento NFS sao mapeadas por 

ID de usuario. Assim, por exemplo, um usuario com UID 500 em um cliente NFS tera acesso a 
arquivos de propriedade UID 500 no servidor NFS. Isso e independente dos nomes de usuario 
utilizados. 


Estrutura do sistema de arquivos exposta — Ate o NFSv3, se voce compartilhasse um diretório 
via NFS, voce expunha a localizaęao desse diretório no sistema de arquivos do servidor. (Em 





outras palavras, se voce compartilhasse o diretório /var/stuf f, os clientes saberiamąue 
/var/stuf f era sua localizaęao exata emseu servidor). 


Essa e a ma noticia. A boa noticia e que a maioria dessas quest5es e abordada no NFSv4 mas requer 
alguma configuraęao extra. Ao integrar suporte Kerberos, o NFSv4 permite configurar o acesso do 
usuario combase emcada usuario que recebe urna permissao Kerberos. Para voce, o trabalho extra e 
configurar umservidor Kerberos. Quanto a exposięao dos locais NFS compartilhados, como NFSv4 
voce pode ligar diretórios compartilhados a umdiretório /exports, de tal modo que quando eles sao 
compartilhados, a localizaęao exata desses diretórios nao e exposta. 

Yisite https : //help . ubuntu . com/community/NFSv4Howto para obter detalhes sobre 
recursos NFSv4 no Ubuntu. 

Recursos padrao de seguranęa do Finuxassociados como NFS, firewalls iptables, TCP wrappers e 
SEFinux podem desempenhar um papel na obtenęao e fornecimento de acesso ao seu servidor NFS a 
partir de clientes remotos. Emparticular, fazer os recursos de firewall iptables funcionaremcom 
NFS pode ser particularmente dificil. Esses recursos de seguranęa sao descritos nas seęóes que se 
seguem. 

Abrindo seu firewall para NFS 

O servięo NFS depende de varios daemons de servięos diferentes para operaęao normal, com a maioria 
desses daemons ouvindo em diferentes portas de acesso. Para o NFSv4 padrao usado no Fedora, as 
portas TCP e UDP 2049 (nf s) e 111 (rpcbind) devem ser abertas para um servidor NFS executar 
corretamente. O servidor tambemdeve abrir portas TCP e UDP 20048 para o comando showmount ser 
capaz de consultar diretórios NFS compartilhados disponiveis a partir do servidor. 

Para abrir as portas no firewall do servidor NFS, certifique-se de que iptables esta ativado e 
inicializado comregras de firewall semelhantes as seguintes adicionadas ao arquivo 

/etc/sysconfig/iptables: 
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No Red Hat Enterprise Finux 6.x e versóes anteriores, a questao do firewall e um pouco mais complexa. 
O problema, no que se relaciona com firewalls, e que ha varios servięos diferentes associados com o 
NFS que ouvem em portas diferentes e essas portas sao atribuidas aleatoriamente. Para contornar esse 
problema, voce precisa bloquear os numeros de porta que esses servięos usam e abrir o firewall para 
essas portas serem acessiveis. 

Para tornar o processo de bloquear as portas do servidor NFS mais facil, entradas no arquivo 
/etc/sysconf ig/nf s podem ser adicionadas para atribuir numeros de porta especificos aos 



servięos. Eis alguns exemplos de opęóes no arquivo /etc/sysconf ig/nf s comnumeros de porta 
estaticos configurados: 


RQUOTAD_PORT=49001 
LOCKD_TCPPORT=4 90 02 
LOCKD_UDPPORT=49003 
MOUNTD_PORT=49004 
STATD_PORT=4 90 0 5 
STATD OUTGOING PORT=49006 


Comessas portas configuradas, reiniciei o servięo nfs (service nfs restart). Usando o 
comando netstat, voce pode ver os processos resultantes que estao ouvindo nessas portas atribuidas: 
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Com esses numeros de porta configurados e sendo utilizados por diversos servięos, agora voce pode 
adicionar regras de iptables, como voce fez com as portas 2049 e 111 para o servięo NFS basico. 


Permitindo o acesso NFS em TCP wrappers 

Para servięos como vsftpd e sshd, os TCP wrappers no Linux permitem adicionar informaęoes aos 
arquivos /etc/hosts.allowe/etc/hosts.deny para indicar quais hosts podemounao podem 
acessar o servięo. Embora o daemon servidor nf sd em si nao esteja habilitado para TCP wrappers, o 
servięo rpcbind esta. 

Para vers5es NFSv3 e anteriores, simplesmente adicionar urna linha como a seguinte no arquivo 
/etc/hosts . deny seria negar acesso ao servięo rpcbind, mas tambemnegar acesso ao seu 
servięo NFS: 

rpcbind: ALL 

Para os servidores que executam NFSv4 por padrao, porem, a linha rpcbind: ALL recem-mostrada 
impede que hosts externos obtenham informaęóes sobre servięos RPC (como o NFS), usando comandos 
como showmount. Mas isso nao vai impedir que voce monte umdiretório NFS compartilhado. 


Configurando o SELinux para seu servidor NFS 

Como SELinux configurado como Permissive ou Disabled, ele nao bloqueara o acesso ao servięo NFS. 
No modo Enforcing, porem, ha poucos booleanos do SELinux que voce precisa conhecer. Para verificar o 
estado do SELinux em seu sistema, digite o seguinte: 




# getenforce 

Enforcing 

# grep "'SELINUX= /etc/sysconfig/selinux 

SELINUX=enforcing 

Se seu sistema estiver no modo Enforcing, como esta aqui, verifique a pagina man do nf s_selinux 
para obter informaęóes sobre as configuraęóes do SELinux que podem afetar o funcionamento de seu 
servięo vsftpd. Aseguir, estao alguns contextos do SELinux associados como NFS que voce pode 
precisar conhecer: 

■ nf s_export_all_ro — Comesse conjunto booleano configurado, o SELinux permitira que 

voce compartilhe arquivos compermissao de somente leitura usando NFS. O compartilhamento 
de arquivos NFS somente leitura e habilitado com essa opęao atiyada, independentemente do 
contexto do arquivo SEFinux configurado nos arquivos compartilhados e diretórios. 

■ nf s_export_all_rw — Com esse booleano configurado, o SEFinux permitira que voce 

compartilhe arquivos compermissao de leitura/gravaęao usando o NFS. Como como booleano 
anterior, isso vai funcionar independentemente do contexto de arquivo configurado sobre os 
arquivos e diretórios compartilhados. 

■ usenf s home dirs — Para permitir que o servidor NFS compartilhe seus diretórios iniciais 

atraves do NFS, ative esse valor booleano. 

Dos booleanos descritos, os dois primeiros estao ativados por padrao. O booleano 

use_nf s_home_dirs esta desativado. Para ativar o diretório use_nf s_home_dirs, voce pode 

di gitar o seguinte: 

# setsebool -P use_nfs_home_dirs on 

\bce pode ignorar todos os booleanos relacionados com compartilhamento de arquivos NFS; mas, 
mudando os contextos de arquivos sobre os arquivos e diretórios, voce vai querer compartilhar via NFS. 
Os contextos de arquivos public_content_t e public_content_rw_t podem ser 
configurados em qualquer diretório que voce quer compartilhar via NFS (ou protocolos de 
compartilhamento de arquivo, como HTTP, FTP e outros, nesse aspecto). Por exemplo, para configurar 
urna regra que permite que o diretório /whatever e seus subdiretórios sejamcompartilhados como 
leitura/gravaęao via NFS e depois aplicar essa regra, digite o seguinte: 

# semanage fcontext -a -t public_content_rw_t "/whatever(/.*)?" 

# restorecon -F -R -v /whatever 

Se quiser permitir que os usuarios sejam capazes apenas de ler arquivos de um diretório, mas nao gravar 
nele, voce pode atribuir o contexto de arquivo public content t ao diretório. 


Usando sistemas de arquivos NFS 


Depois que um seryidor exporta um diretório atrayes da rede utilizando NFS, um computador cliente 




conecta esse diretório ao seu próprio sistema de arquivos usando o comando mount. Esse e o mesmo 
comando usado para montar sistemas de arquivos de discos rigidos locais, CDs e pen drives, mas com 
opęóes ligeiramente diferentes. 

O comando mount permite que umcliente automaticamente monte diretórios NFS adicionados ao 
arquivo /etc/fstab, exatamente como ele faz com os discos locais. Diretórios NFS tambempodem 
ser adicionados ao arquivo /etc/f stab de tal maneira que eles nao sao montados automaticamente 
(assim, voce pode monta-los manualmente quando escolher). Com urna opęao noauto, um diretório 
NFS listado em /etc/f stab e inativo ate que o comando mount e usado, depois que o sistema esta 
instalado e funcionando, para montar o sistema de arquivos. 

Alemdo arquivo /etc/f stab, voce tambempode configurar opęóes de montagemusando o arquivo 
/etc/nf smount. conf. Dentro desse arquivo, voce pode configurar as opęóes de montagemque se 
aplicam a qualquer diretório NFS que voce montar ou apenas aqueles associados com especificos pontos 
de montagem ou servidores NFS. 

Antes de comeęar a montar diretórios NFS compartilhados, porem, voce provavelmente vai querer 
verificar quais diretórios compartilhados estao disponiveis via NFS usando o comando showmount. 

Visualizando compartilhamentos NFS 

Apartir de um sistema cliente Finux, voce pode usar o comando showmount para ver quais diretórios 
compartilhados estao disponiveis a partir de umcomputador selecionado. Por exemplo: 

$ /usr/sbin/showmount -e server.example.com 

/export/myshare Client.example.com 
/mnt/public * 

A saida showmount mostra que o diretório compartilhado chamado /export/myshare esta 
disponivel apenas para o host client. example . com. O diretório /mnt/public compartilhado, 
porem, esta disponivel para qualquer um. 

Montando manualmente um sistema de arquivos NFS 

Urna vez que voce sabe que o diretório a partir de um computador em sua rede foi exportado (isto e, foi 
disponibilizado para montagem), voce pode montar o diretório manualmente usando o comando mount. 
Essa e urna boa maneira de certificar-se de que esta disponivel e funcionando antes de voce configura-lo 
para montar permanentemente. O seguinte e umexemplo de como montar o diretório /stuf f de um 
computador chamado mapie em seu computador local: 

# mkdir /mnt/maple 

# mount mapie:/stuff /mnt/maple 

O primeiro comando (mkdir) cria o diretório do ponto de montagem. (/mnt e umlugar comumpara 
colocar discos e sistemas de arquivos NFS montados temporariamente.) O comando mount identifica o 



computador remoto e o sistema de arquivos compartilhado, separados por dois-pontos 
(mapie : /stuf f), e o diretório do ponto de montagemlocal (/mnt/maple) vememseguida. 


ta 

montagem falhar, certifique-se de que o servięo NFS esta em execuęao no servidore que as regras de firewall do 
dor nao negam acesso ao servięo. A partir do servidor, digite ps ax | grep nf sd para ver urna lista de 
essos doservidornf sd. Se voce nao vira lista, tente iniciarseu servidorNFS como descrito anteriormente, neste 
tulo. Para ver as regras do firewall, digite iptables -vnL. Por padrao, o daemon nf sd ouve solicitaęóes 
na porta de numero 2049. Seu firewall deve aceitar solicitaęóes udp nas portas 2049 (nfs) e 111 (rpc). No 
Hat Enterprise Linux 6 e versóes anteriores do Fedora, voce pode precisar configurar portas estaticas para 
ęos relacionados e depois abrir as portas para esses servięos no firewall. Consulte a seęao “Protegendo seu 
dor NFS” anteriormente, neste capitulo, para avaliarcomo superar esses problemas de seguranęa. 


Para garantir que a montagem do NFS ocorreu, digite mount-t nfs. Esse comando lista todos os 
sistemas de arquivos NFS montados. Eis umexemplo do comando mount e sua saida (comsistemas de 
arquivos nao pertinentes a essa discussao removidos): 

# mount -t nfs 

mapie:/stuff on /mnt/maple type nfs (rw,relatime,vers=3,rsize=65536, 
wsize=65536,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys, 
mountaddr=l92.168.0.122,mountvers=3,mountport=892,mountproto=udp, 
local_lock=none,addr=l92.168.0.122) 


A saida do comando mount -1 nfs mostra apenas os sistemas de arquivos montados a partir de 
servidores de arquivos NFS. O sistema de arquivos NFS recem-montado e o diretório /stuf f no 
computador mapie (mapie : / stuff). Ele e montado em /mnt/maple e seutipo de montageme nfs. 
O sistema de arquivos foi montado para leitura/grayaęao (rw) e o endereęo IP de mapie e 
192.168.0.122 (addr=192.168.0.122). Muitas outras configuraęóes relacionadas com 
montagem tambem sao mostradas, como tamanhos de pacote de leitura e gravaęao, e numero de versao do 
NFS. 

A operaęao de montagem recem-mostrada monta temporariamente um sistema de arquivos NFS no 
sistema local. Apróxima seęao descreye como tornar a montagem mais permanente (usando o arquivo 
/etc/f stab) e como selecionar yarias opęóes para montagens NFS. 


Montagem de um sistema de arquivos NFS no momento da 
inicializaęao 

Para configurar um sistema de arquivos NFS para montar automaticamente em um ponto de montagem 
especificado cada vez que voce iniciar seu sistema Linux, voce precisa adicionar urna entrada a esse 
sistema de arquivos NFS no arquivo /etc/fstab. Esse arquivo conteminformaęóes sobre todos os 
tipos de sistemas de arquivos montados (e disponiveis para serem montados) em seu sistema. 

Eis o formato para adicionar um sistema de arquivos NFS ao sistema local: 






host:diretório pontodemontagem nfs opęóes O O 

O primeiro item (host:diretório) identifica o computador do servidor NFS e o diretório compartilhado. 
ponto de montagem e o ponto de montagem local em que o diretório NFS esta montado. Ele e seguido 
pelo tipo de sistema de arquivos (nfs). Quaisquer opęóes relacionadas a montagem aparecem próximas 
em urna lista separada por virgulas. (Os dois ultimos zeros configuramo sistema para nao copiar o 
conteudo do sistema de arquivos e para nao executar f sck no sistema de arquivos.) 

Eis alguns exemplos de entradas NFS em/etc/fstab: 

mapie:/stuff /mnt/maple nfs bg,rsize=8192,wsize=8192 0 0 

oak:/apps /oak/apps nfs noauto,ro 0 0 

No primeiro exemplo, o diretório remoto /stuf f do computador chamado mapie (mapie : /stuf f) 
e montado no diretório local/mnt/maple (o diretório local deve existir). Se a montagem falhar, 
porque a aęao esta indisponivel, bg faz com que a tentativa de montagem entre em segundo piano e tente 
novamente mais tarde. 

O tipo de sistema de arquivos e nfs e os tamanhos de buffer de leitura (rsize) e gravaęao (wsize) 
(discutidos na seęao “Usando opęóes de montagem”, mais adiante, neste capitulo) estao fixados em 
8192 para acelerar a transferencia de dados associada comessa conexao. No segundo exemplo, o 
diretório remoto e /apps no computador chamado oak. Ele e configurado como um sistema de arquivos 
NFS (nfs), que pode ser montado no diretório /oak/apps localmente. Esse sistema de arquivos nao e 
montado automaticamente (noauto), mas pode ser montado como somente leitura (ro) usando o 
comando mount depois que o sistema ja esta emexecuęao. 


:a 

idrao e montar um sistema de arquivos NFS como leitura/gravaęao. Mas o padrao para a exportaęao de um 
ma de arquivos e somente leitura. Se voce nao conseguir gravar em um sistema de arquivos NFS, verifique se ele 
<portado como leitura/gravaęao a partirdo servidor. 


Montando sistemas de arquivos noauto 

Seuarquivo /etc/f stab tambempode conter dispositivos para outros sistemas de arquivos que nao 
sao montados automaticamente. Por exemplo, voce pode ter multiplas partięóes de disco em seu disco 
rigido ou um sistema de arquivos NFS compartilhado que queira montar apenas ocasionalmente. Um 
sistema de arquivos noauto pode ser montado manualmente. Avantageme que quando voce digita o 
comando mount, pode gravar menos informaęóes e ter o resto preenchido como conteudo do arquivo 
/etc/fstab. Entao, por exemplo, voce poderia di gitar: 

# mount /oak/apps 


Com esse comando, mount sabe verificar o arquivo /etc/fstab para obter o sistema de arquivos a 






montar (oak: /apps), o tipo de sistema de arquivos (nf s) e as opęóes para usar coma montagem 
(nesse caso ro, de read-only [somente leitura]). Em vez de digitar o ponto de montagem 1 ocal 
(/oak/apps), voce poderia ter digitado o nome do sistema de arquivos remoto (oak: /apps) e ter as 
outras informaęóes preenchidas. 


:a 

ido nomear pontos de montagem, a inclusao do nome do servidor remoto de NFS nesse nome pode ajuda-lo a 
rar onde os arquivos realmente estao sendo armazenados. Isso pode nao ser possivel se voce estiver 
)artilhando diretórios iniciais (/home) ou diretórios de email (/var/spool/mail). Porexemplo, voce pode 
arum sistema de arquivos a partirde urna maquina chamada duck no diretório /mnt/duck. 


Usando as opęoes de montagem 

\foce pode adicionar varias opęóes de mount ao arquivo /etc/f stab (ou a urna linha de comando 
mount sozinha) para influenciar a forma como o sistema de arquivos e montado. Quando voce adiciona 
opęóes a /etc/f stab, elas devemser separadas por virgulas. Por exemplo, aqui, as opęóes noauto, 
ro e hard sao usadas quando oak: /apps esta montado: 

oak:/apps /oak/apps nfs noauto,ro,hard 0 0 

Aseguir, estao algumas opęóes que sao valiosas para a montagem de sistemas de arquivos NFS. \bce 
pode ler sobre essas e outras opęóes de montagem NFS que podem ser colocadas no arquivo 
/etc/f stab na pagina man do comando nfs (ma n 5 nfs): 

■ hard — Se essa opęao for usada e o servidor NFS desconectar ou cair enquanto umprocesso esta 

esperando para acessa-lo, o processo esperara ate o servidor voltar. Isso e util se for essencial 
que os dados com que voce esta trabalhando permaneęam em sincronia com os programas que os 
estao acessando. (Esse e o comportamento padrao). 

■ soft — Se o servidor NFS desconectar ou cair, umprocesso tentando acessar os dados do 

servidor expirara após um determinado periodo de tempo, quando essa opęao estiver ativada. Um 
erro de entrada/saida e enviado para o processo tentar acessar o servidor NFS. 

■ rsize — O tamanho dos blocos de dados (embytes) que o cliente NFS solicitara para ser 

utilizado quando ele estiver lendo dados a partir de um servidor NFS. O padrao e 1024. Usando 
umnumero maior (como 8192), voce obtera melhor desempenho emuma rede que e rapida (como 
urna rede local) e e relativamente livre de erros (isto e, urna que nao temmuito ruido ou colisóes). 

■ wsi ze — O tamanho dos blocos de dados (embytes) que o cliente NFS solicitara para ser 

utilizado quando gravar dados emumservidor NFS. O padrao e 1024. Problemas de desempenho 
sao os mesmos que coma opęao rsize. 

■ timeo=# — Define o tempo que urna segunda transmissao e feita depois de ocorrer umtimeout 

de RPC, onde # representa um numero em decimos de segundo. O valor padrao e sete decimos de 
segundo. Cada tempo limite sucessivo faz com que o valor de tempo limite seja dobrado (ate o 






maximo de 60 segundos). Aumente esse valor se voce acredita que o tempo limite esta ocorrendo 
por causa da resposta lenta do servidor ou uma rede lenta. 

■ retrans =# — Define o numero de timeouts e retransmissóes menores que precisamacontecer 

antes do timeout maior ocorrer. 

■ retry=# — Define por quantos minutos continuar a repetir as solicitaęóes de falha de montagem, 

onde # e substituldo pelo numero de minutos para tentar novamente. O padrao e 10.000 minutos 
(que e aproximadamente uma semana). 

■ bg — Se a primeira tentativa de montagem falhar, todas as tentativas de montagem subsequentes 

ocorrerao em segundo piano. Essa opęao e muito util se voce estiver montando um sistema de 
arquivos NFS lento ou esporadicamente disponivel. Ao colocar solicitaęóes de montagem no 
segundo piano, o sistema pode continuar a montar outros sistemas de arquivos, em vez de esperar 
que o atual se complete. 


ta 

m ponto de montagem aninhado estiverfaltando, ocorre um tempo limite para permitirque o ponto de montagem 
ssario seja adicionado. Porexemplo, se voce montar /usr/trip e /usr/trip/extra como sistemas 
irquivos NFS e /usr/trip ainda nao estiver montado quando /usr/trip/extra tentar montar, 
r/trip/extra expirara. Se voce tiver sorte, / usr/trip sobe e / usr/trip/extra e montado na 
ima tentativa. 


■ f g — Se a primeira tentativa de montagem expirar, as montagens subsequentes ocorrerao em 
primeiro piano. Esse e o comportamento padrao. Use essa opęao se for imperativo que a 
montagem seja bem-sucedida antes de continuar (por exemplo, se voce estivesse montando 

/usr). 

Nem todas as opęóes de montagem NFS precisam ir para o arquivo /etc/fstab. No lado do cliente, o 
arquivo /etc/nf smount. conf pode ser configurado para as seęóes Mount, Server e Global. Na 
seęao Mount, voce pode indicar quais opęóes de montagem sao utilizadas quando um sistema de arquivos 
NFS e montado emum ponto de montagem espedfico. A seęao Server permite adicionar opęóes a 
qualquer sistema de arquivos NFS montado a partir de um servidor NFS especifico. Opęóes globais se 
aplicam a todos os NFS montados a partir desse cliente. 

Aseguinte entrada no arquivo /etc/nf smount. conf configura umtamanho do bloco de leitura e 
gravaęao de 32KB para todos os diretórios NFS montados a partir do sistema chamado 

thunder.example.com: 

[ Server "thunder.example.com" ] 
rsize=32k 
wsize=32k 

Para configurar opęóes padrao para todos os NFS montados em seus sistemas, voce pode ativar o bloco 
NFSMount Global Options, remoyendo o caractere de comentario. Nesse bloco, voce pode 






configurar coisas como protocolos e versóes de NFS, bemcomo as taxas de transmissao e as 
configuraęóes de novas tentativas. Eis umexemplo de umbloco NFSMount_Global_Options: 

[ NFSMount_Global_Options ] 

# Isso configura a versao padrao como NFS 4 
Defaultvers=4 

# Configura o numero de vezes que uma solicitaęao sera tentada novamente 

# gerando um timeout 
Retrans=2 

# Configura como 2 minutes o tempo antes de tentar novamente 

# uma montagem que falhou 

# Retry=2 

No exemplo mostrado, a versao padrao do NFS e 4. Os dados sao retransmitidos duas vezes (2) antes de 
gerar um timeout. O tempo de espera e de 2 minutos antes de tentar novamente uma transmissao que 
falhou. \bce pode substituir qualquer um desses yalores padrao adicionando opęóes de montagem a 
/etc/fstaboua linha de comando de montagem quando o diretório NFS e montado. 

Usando o autofs para montarsistemas de arquivos NFS sob 
demanda 

As recentes melhorias para autodetecęao e montagem de dispositivos tornaram possivel simplesmente 
inserir ou conectar esses dispositivos para detecta-los, monta-los e exibi-los. Mas para tornar o processo 
de detecęao e montagem de sistemas de arquivos remotos NFS mais automatico, voce ainda precisa usar 
uma instalaęao como autofs (abreviaęao de automatically mounted filesystems, isto e, sistemas de 
arquivos montados automaticamente). 

O recurso autofs monta sistemas de arquivos de rede sob demanda quando alguemtenta usar o sistema 
de arquivos. Como recurso autofs configurado e ativado, voce pode fazer comque quaisquer 
diretórios NFS compartilhados disponiveis sejam montados sob demanda. Para usar o recurso de 
autofs, voce precisa ter o pacote autofs instalado. (Para o Fedora e o RHEL, voce pode digitar 

yum install autofs ou, para o Ubuntu ou o Debian, apt-get install autofs para 
instalar o pacote a partir da rede.) 

Automontando o diretório /net 

Com autofs habilitado, se voce sabe o hostname e o diretório que esta sendo compartilhado por outro 
computador host, basta mudar (cd) para o diretório de montagem autofs (/net ou /var/autof s 
por padrao). Isso faz comque o recurso compartilhado seja automaticamente montado e disponibilizado 
para voce. 

Os passos a seguir explicamcomo ativar o recurso autofs no Fedora: 

1 - No Fedora, como usuario root de uma janela do Terminal, abra o arquivo 
/etc/auto . master e procure a seguinte linha: 

/net -hosts 

Isso faz comque o diretório /net atue como o ponto de montagem para os diretórios NFS 



compartilhados que voce quer acessar na rede. (Se houver umcaractere de comentario no 
initio da linha, remova-o.) 

2 - Para iniciar o servięo autof s no Fedora, digite o seguinte, como usuario root: 

# systemctl start autofs.service 

3 - Emum sistema Fedora, configure o servięo autof s para reiniciar a cada vez que voce 
iniciar o sistema: 

# chkconfig autofs on 

Acredite ou nao, isso e tudo que voce tern de fazer. Se voce tiver urna conexao de rede para os servidores 
NFS a partir da qual voce quer compartilhar diretórios, tente acessar um diretório NFS compartilhado. 
Por exemplo, se voce sabe que o diretório /usr/local/share esta sendo compartilhado a partir do 
computador em sua rede chamada shutde, voce pode fazer o seguinte: 

$ cd /net/shuttle 

Se esse computador tiver qualquer diretório compartilhado disponivel para voce, voce pode mudar para 
esse diretório. 

\hce tambem pode digitar o seguinte: 

$ ls 

usr 

\bce deve ser capaz de ver que o diretório usr e parte do caminho para um diretório compartilhado. Se 
houvesse diretórios compartilhados a partir de outros diretórios de nivel superior (tais como /var ou 
/tmp), voce os veria as tambem. E claro que, ver qualquer umdesses diretórios depende de como a 
seguranęa esta configurada no servidor. 

Tente ir direto para o diretório compartilhado tambem. Por exemplo: 

$ cd /net/shuttle/usr/local/share 
$ ls 

info man musie television 

Nesse ponto, o comando ls deve revelar o conteudo do diretório /usr/local/share no 
computador chamado shutde. O que voce pode fazer comesse conteudo depende de como ele foi 
configurado para compartilhamento pelo servidor. 

Isso pode ser um pouco desconcertante, porque voce nao vai ver os arquivos ou diretórios ate realmente 
tentar usa-los, como para mudar para um diretório montado pela rede. O comando ls, por exemplo, nao 
vai mostrar nada sob um diretório montado pela rede ate que o diretório seja montado, o que pode levar a 
urna impressao de “as vezes ele aparece, as vezes nao”. Basta mudar para um diretório montado pela 
rede ou acessar umarquivo emtal diretório e autofs vai cuidar do resto. 

No exemplo mostrado, o hostname shutde e usado. Mas voce pode usar qualquer nome ou endereęo IP 



que identifica a localizaęao do computador do servidor NFS. Por exemplo, em vez de shutde, voce 
poderia ter usado shuttle . example . com ouumendereęo IP como 192.168.0.122. 

Automontando diretórios iniciais 

Emvez de simplesmente montar umsistema de arquivos NFS sob o diretório /net, voce pode querer 
configurar autof s para montar um diretório NFS especifico emumlocal especifico. Por exemplo, voce 
pode configurar o diretório inicial do usuario a partir de um servidor centralizado que pode ser montado 
automaticamente a partir de urna maquina diferente quando um usuario faz login. Da mesma maneira, voce 
pode usar um mecanismo de autenticaęao central, como o LDAP (conforme descrito no Capitulo 11, 
“Gerenciando contas de usuario”), para oferecer contas de usuario centralizadas tambem. 

O procedimento a seguir ilustra como configurar urna conta de usuario em um servidor NFS e 
compartilhar o diretório inicial de um usuario chamado j oe desse servidor para que ele possa ser 
montado automaticamente quando joe faz login em um computador diferente. Nesse exemplo, em vez de 
usar um servidor central de autenticaęao, contas correspondentes sao criadas em cada sistema. 

No servidor NFS (mynf s . example . com) que fornece um diretório inicial centralizado 
para o usuario chamado j oe, crie urna conta de usuario para j oe com um diretório inicial 
/home/shared/j oe como seunome. Tambemlocalize o numero de ID do usuario Joe a 
partir do arquivo /etc/passwd (terceiro campo), para poder corresponde-lo ao 
configurar urna conta de usuario para joe em outro sistema. 

# mkdir /home/shared 

# useradd -c "Joe Smith" -d /home/shared/joe joe 

# grep joe /etc/passwd 

joe:x:507:507:Joe Smith:/home/shared/j oe:/bin/bash 

2 - No servidor NFS, exporte o diretório /home/shared/ para qualquer sistema emsua 
rede local (euuso 192.168.0.* aqui), assim, voce pode compartilhar o diretório inicial de 
joe, e quaisquer outros usuarios que criar, adicionando esta linha ao arquivo 

/etc/exports: 

# arquivo /etc/exports para compartilhar diretórios sob 
/home/shared 

# somente para outros sistemas na rede 192.168.0.0/24: 

/home/shared 192.168.0.*(rw,insecure) 



xemplo de arquivo exports acima, a opęao permite que clientes inseguros utilizem portas acima da porta 1024 
fazer solicitaęóes de montagem. Alguns clientes NFS exigem isso, porque nao tem acesso a portas reservadas 


NFS. 


3 - No servidor NFS, reinicie o servięo nf s-server ou, se ele ja estiver funcionando, voce 
pode simplesmente exportar o diretório compartilhado, como segue: 






# exportfs -a -r -v 

4 - No servidor NFS, certifique-se de que as portas apropriadas estao abertas no firewall. 
Consulte a seęao “Protegendo seu servidor NFS” para mais detalhes. 

5 - No sistema NFS cliente, adicione urna entrada ao arquivo /etc/auto .master que 
identifique o ponto de montagemonde voce quer que o diretório NFS remoto seja montado e 
um arquivo (de sua escolha) onde voce identificara a localizaęao do diretório NFS remoto. 
Eu adicionei essa entrada ao arquivo auto . master: 

/home/remote /etc/auto.joe 

6 - No sistema NFS cliente, adicione urna entrada ao arquivo que voce acabou de anotar 
(/etc/auto . joeeo que usamos) que contenha urna entrada como a seguinte: 

joe -rw mynfs.example.com:/home/shared/joe 

7 - No sistema NFS cliente, reinicie o servięo autof s: 

# systemctl restart autofs.service 

8 - No sistema NFS cliente, crie um usuario chamado j oe usando o comando useradd. Para 
essa linha de comando, voce precisa obter o UID para joe no servidor (507, neste exemplo), 
de modo que j oe no sistema cliente seja o proprietario dos arquivos a partir do diretório 
inicial de Joe NFS. Quando voce executa o seguinte comando, a conta de usuario joe e 
criada, mas voce vera urna mensagem de erro informando que o diretório ja existe (o que e 
correto): 

# useradd -u 507 -c "Joe Smith" -d /home/remote/joe joe 

# passwd joe 

Changing password for user joe. 

New password: ******** 

Retype new password: ******** 

9 - No sistema NFS cliente, faęa login como joe. Se tudo estiver funcionando corretamente, 
quando Joe fizer login e tentar acessar seu diretório inicial (/home/remote/j oe), o 
diretório /home/share/j oe deve ser montado a partir do servidor 

mynf s . example . com. O diretório NFS foi compartilhado e montado como 
leitura/gravaęao composse configurada como UID 507 (joe emambos os sistemas), de 
modo que o usuario joe no sistema local deve ser capaz de adicionar, excluir, alterar e 
visualizar arquivos no diretório. 

Depois de Joe ter feito logoff (na verdade, quando ele para de acessar o diretório) por umperiodo de 
tempo (10 minutos, por padrao), o diretório e desmontado. 


Desmontando sistemas de arquivos NFS 


Depois que um sistema de arquivos NFS e montado, desmontar e simples. \bce pode usar o comando 




umount comumponto de montagem local ou o nome do sistema de arquivos remoto. Por exemplo, eis 
duas maneiras como voce pode desmontar mapie : /stuf f a partir do diretório local /mnt/mapie: 

# umount mapie:/stuff 

# umount /mnt/maple 

Ambas as formas funcionam Se mapie : / stuf f for montado automaticamente (a partir de urna 
listagemno arquivo /etc/f stab), o diretório sera remontado na próxima vez que voce inicializar o 
Linux. Se fosse urna montagemtemporaria (oulistada como noauto em /etc/f stab), o diretório nao 
seria remontado na inicializaęao. 


a 

nando e umount, nao unmount. Isso e facil de errar. 


Se voce receber a mensagem device is busy ao tentar desmontar um sistema de arquivos, isso 
significa que o desmonte falhou porque o sistema de arquivos esta sendo acessado. Muito provavelmente, 
um dos diretórios no sistema de arquivos NFS e o diretório atual do seu shell (ou o shell de outra pessoa 
em seu sistema). A outra possibilidade e que um comando esta segurando um arquivo aberto no sistema 
de arquivos NFS (como um editor de texto). Verifique suas janelas Terminal e outros shells e depois use 
cd para sair do diretório, se voce estiver nele, ou simplesmente feche as janelas Terminal. 

Se um sistema de arquivos NFS nao desmontar, voce pode foręa-lo (umount -f /mnt/maple) ou 
desmontar e limpar mais tarde (umount -1 /mnt/maple). Aopęao -1 e geralmente a melhor 
escolha, porque urna desmontagem foręada pode atrapalhar urna modificaęao de arquivo que esta em 
andamento. Outra alternativa e executar -v pontoDeMontagem para ver quais usuarios estao segurando 
seu compartilhamento NFS montado aberto e, depois, f user -k pontoDeMontagem para eliminar 
todos esses processos. 


Resumo 


O NetWork File System (NFS) e um dos mais antigos produtos de compartilhamento de arquivos 
existentes hoje. Ele ainda e o mais popular para compartilhar diretórios de arquivos entre sistemas UNIX 
e Linux. O NFS permite que os servidores designem diretórios especificos para serem disponibilizados a 
hosts designados e entao permite que sistemas clientes se conectema esses diretórios montando-os 
localmente. 

O NFS pode ser protegido usando regras de firewall (iptables), TCP wrappers (para permitir e negar 
acesso ao host) e o SELinux (para limitar a forma como protocolos de compartilhamento de arquivos 
podem compartilhar recursos do NFS). Embora o NFS fosse inerentemente inseguro quando foi criado 
(os dados sao compartilhados sem criptografia e o acesso do usuario e bastante aberto), novos recursos 
do NFS versao 4 temajudado a melhorar a seguranęa geral do NFS. 

Este capitulo sobre NFS e o ultimo dos capitulos do livro sobre seryidor. O Capitulo 21 abrange urna 







ampla gama de temas sobre desktop e servidor a medida que aj uda a compreender as tecnicas para a 
soluęao de problemas de seu sistema Linux. 


Bcercfcios 


Os exerricios desta seęao vao guia-lo ao longo das tarefas relacionadas com a configuraęao e utilizaęao 
de umservidor NFS emLinux. Se possiyel, tenha dois sistemas Linux disponlyeis que estejam 
conectados emuma rede local. Umdesses sistemas Linuxagira como umservidor NFS, enquanto o outro 
sera um cliente NFS. 

Para obter o maximo desses exerdcios, recomendo que voce nao use um servidor Linux que ja tenha NFS 
ja instalado e funcionando. \foce nao pode fazer todos os exerricios aqui seminterromper umservięo 
NFS que ja esta emexecuęao e compartilhando recursos. 

Consulte o Apendice B para obter as soluęóes sugeridas. 

No sistema Linux que voce quer usar como um servidor NFS, instale os pacotes necessarios 
para configurar um servięo NFS. 

2 - No servidor NFS, listę os arquivos de documentaęao que vemno pacote que fornece o 
software do servidor NFS. 

3 - No servidor NFS, determine o nome do servięo NFS e inicie-o. 

4 - No seryidor NFS, verifique o status do seryięo NFS que voce acabou de iniciar. 

5 - No seryidor NFS, crie o diretório /var/mystuf f e compartilhe-o a partir de seu 
seryidor NFS com os seguintes atributos: disponiyel para todos, somente leitura e o usuario 
root no cliente tern acesso de root ao compartilhamento. 

6 - No seryidor NFS, certifique-se de que o compartilhamento que voce criou e acessivel a 
todos os hosts abrindo TCP wrappers, iptables e SELinux. 

7 - Em um segundo sistema Linux (cliente NFS), yisualize as aęóes disponiyeis a partir do 
seryidor NFS. (Se nao tiver um segundo sistema, voce pode fazer isso a partir do mesmo 
sistema.) Se voce vir o diretório NFS compartilhado, volte a pergunta anterior e tente 
noyamente. 

8 - No cliente NFS, crie um diretório chamado /var/remote e temporariamente monte o 
diretório /var/mystuf f a partir do seryidor NFS nesse ponto de montagem 

9 - No cliente NFS, desmonte /var/remote, adicione urna entrada para que essa mesma 
montagem seja feita automaticamente quando voce reiniciar (com urna opęao de montagem 
bg) e teste se essa entrada que voce criou esta funcionando corretamente. 

10 -Apartir do seryidor NFS, copie alguns arquivos para o diretório /var/mystuf f/. Apartir 
do cliente NFS, certifique-se de que voce pode ver os arquivos recem-adicionados a esse 
diretório e tenha certeza de que voce nao possa grayar arquivos no diretório do cliente. 




CAPITULO 


Soluęao de problemas 
do Linux 

NESTE CAPITULO 

Solucionando problemas com gerenciadores de inicializaęao 
Solucionando problemas de inicializaęao do sistema 
Corrigindo problemas de empacotamento de software 
Verificando questoes de płaca de rede 
Lidando com problemas de memória 
Usando o modo de recuperaęao 

E m qualquer sistema operacional complexo, ha muitas coisas que podem dar errado. Talvez voce nao 
consiga salvar um arquivo por falta de espaęo em disco. Um aplicativo pode falhar porque o 
sistema esta sem memória. O sistema pode falhar em inicializar corretamente por, bem, urna serie 
de razóes diferentes. 

No Linux, a dedicaęao a abertura e o foco em fazer o software funcionar com a maxima eficiencia levou a 
um numero surpreendente de ferramentas que voce pode usar para solucionar todos os problemas 
imaginaveis. Na verdade, se o software nao estiver funcionando como gostaria, voce ainda tern como 
ultima alternativa reescrever o código (apesar de nao abordarmos a forma de fazer isso aqui). 

Este capitulo aborda alguns dos problemas mais comuns com que voce pode se deparar em um sistema 
Linux e descreve as ferramentas e procedimentos que voce pode usar para superar esses problemas. Os 
tópicos sao divididos por areas de soluęao de problemas, tais como o processo de inicializaęao, pacotes 
de software, rede, problemas de memória e o modo de recuperaęao. 

Solucionando problemas de inicializaęao 

Antes de voce propriamente comeęar a solucionar problemas de um sistema rodando Linux, esse sistema 
precisa inicializar. Para um sistema Linux inicializar, urna serie de coisas tern de acontecer. Um sistema 
Linux instalado diretamente em um computador de arquitetura PC passa pelos seguintes passos para 




inicializar: 


■ Ligar a energia 

■ Iniciar o hardware da BIOS 

■ Encontrar a localizaęao do carregador de inicializaęao (boot loader ) e inicia-lo 

■ Escolher um sistema operacional a partir do carregador de inicializaęao 

■ Iniciar o kernel e o disco de RAM inicial para o sistema operacional selecionado 

■ Iniciar o processo init 

■ Iniciar todos os Scripts de inicializaęao e servięos associados com o nivel selecionado de 

atividade (runlevel ou default target) 

As atividades exatas que ocorrem em cada um desses pontos estao passando por urna transformaęao. 
Carregadores de inicializaęao estao mudando para acomodar novos tipos de hardware. O processo de 
inicializaęao esta mudando para permitir que os sistemas faęamo ajuste fino da ordememque os 
servięos iniciam e param. 

Para ajudar a entender os passos basicos que ocorrem no processo de inicializaęao, as próximas seęóes 
acompanham o processo de inicializaęao de um sistema Red Hat Enterprise Linux 6. Embora os detalhes 
desse processo sejamdiferentes para os sistemas Fedora e Ubuntumais recentes, voce vai seguir os 
mesmos passos basicos para a soluęao de problemas do processo de inicializaęao. 

O sistema operacional Red Hat Enterprise Linux 6 usa muitos componentes para inicializar o sistema, os 
quais todos existem ha bastante tempo. O gerenciador de boot GRUB para o RHEL 6 ainda nao migrou 
para a nova interface GRUB 2. Embora voce possa esperar que urna versao mais recente do daemon 
init, que dirige a iniciaęao e parada de servięos, migre para o novo estilo de inicializaęao do 
systemd que esta agora no Fedora, o processo init do RHEL 6 (que utiliza o novo processo init) 
ainda suporta os Scripts de inicializaęao mais antigos do System V (usado para iniciar servięos do 
sistema). 

A soluęao de problemas do processo de inicializaęao no RHEL 6 comeęa quando voce liga o computador 
e termina quando todos os servięos estao funcionando. Nesse ponto, ha tipicamente um login grafico ou 
um prompt baseado em texto disponivel a partir do console, pronto para voce fazer login. Percorra as 
seguintes seęóes ordenadas para entender o que acontece em cada fasę do processo de inicializaęao e 
onde voce pode precisar solucionar problemas. 

Comeęando pela BIOS 

BIOS, que significa Basic Input Output System, e o primeiro código a ser executado quando voce liga seu 
PC. Sua principal tarefa e inicializar o hardware e entao passar o controle do processo de inicializaęao 
para um carregador de inicializaęao. Urna vez que o sistema operacional esta instalado, normalmente 
voce deve apenas deixar a BIOS fazer seu trabalho e nao interrompe-la. 

Ha, porem, ocasióes emque voce quer interromper a BIOS. Logo depois de ligar a energia, voce deve 
ver urna tela da BIOS que normalmente inclui algumas palayras mostrando como entrar no modo de 



configuraęao e alterar a ordem de inicializaęao. Se pressionar a tecla de funęao mostrada (muitas vezes 
FI, F2 ou F12) para escolher umdesses dois itens, eis o que voce pode fazer: 

■ Setup utility — O utilitario de configuraęao permite alterar as configuraęóes da BIOS. Essas 

configuraęóes podem ser usadas para ativar ou desativar determinados componentes de hardware 
ou ligar ou desligar as funęóes de hardware selecionadas. 

■ Boot order — Os computadores sao capazes de iniciar um sistema operacional ou, mais 

especificamente, um carregador de inicializaęao que pode iniciar um sistema operacional a partir 
de varios dispositivos diferentes conectados ao computador. Esses dispositivos podem incluir 
urna unidade de CD, DVD, disco rigido, controlador USB ou płaca de rede. A ordem de 
inicializaęao configura a ordem emque esses dispositivos sao verificados. Ao modificar a ordem 
de inicializaęao, voce pode dizer ao computador para ignorar temporariamente a ordem padrao e 
tentar inicializar a partir do dispositivo que voce selecionar. 

Para a minha estaęao de trabalho Dell, depois de ver a tela da BIOS, eu imediatamente pressiono a tecla 
de funęao F2 a firn de ir para a tela Setup ou F12 para alterar temporariamente a ordem de inicializaęao. 
As próximas seęóes exploram os problemas que voce pode solucionar a partir das telas Setup e Boot 
Order. 

Solucionando problemas de configuraęao da BIOS 

Como ja observado, geralmente voce pode deixar que a BIOS inicie sem interrupęao e que o sistema 
inicialize para o dispositivo de inicializaęao padrao (provavelmente o disco rigido). Mas aqui estao 
alguns exemplos que podem lhe fazer querer entrar no modo Setup e mudar alguma coisa na BIOS. 

■ Ter urna visao geral de seu hardware — Se seu problema estiver relacionado com o hardware, a 

configuraęao da BIOS e um ótimo lugar para comeęar a examinar seu sistema. A tela de instalaęao 
informara o tipo de sistema, sua versao de BIOS, seus processadores, slots e tipos de memória, se 
ele e de 32 ou 64 bits, quais dispositivos estao em cada slot e muitos detalhes sobre os tipos de 
dispositivos conectados ao sistema. 

Se voce nao conseguir fazer um sistema operacional inicializar, a tela BIOS Setup pode ser a 
unica maneira de determinar o modelo do sistema, o tipo de processador e outras informaęóes que 
voce precisa procurar para obter ajuda ou ligar para o suporte. 

■ Ativar/desativar um dispositivo — Amaioria dos dispositivos conectados ao computador estao 

habilitados e disponiveis para uso pelo sistema operacional. Para solucionar um problema, pode 
ser necessario desativar um dispositivo. 

Por exemplo, digamos que seu computador temduas placas de rede. \bce quer usar a segunda 
płaca de rede para instalar o Linux em urna rede, mas o instalador continua tentando usando a 
primeira para se conectar a rede. \bce pode desabilitar a primeira płaca de rede para que o 
instalador nemmesmo a veja ao tentar se conectar a rede. 

Talvez voce tenha urna płaca de audio e queira desativar o audio integrado na placa-mae. Isso 
pode ser feito na BIOS tambem 

Por outro lado, pode haver momentos em que voce quer ativar um dispositivo que foi desativado. 
Talvez voce tenha recebido um computador com um dispositivo desativado na BIOS. A partir do 



sistema operacional, por exemplo, pode parecer que voce nao tem urna porta paralela (LPT) ou 
uma unidade de CD. Examinando a BIOS, voce pode determinar se esses dispositivos nao estao 
disponlveis simplesmente porque foram desativados na BIOS. 

■ Alterar a configuraęao do dispositivo — As vezes, as configuraędes padrao que vem em sua 

BIOS nao funcionam para sua situaęao. \bce pode querer alterar as seguintes configuraędes da 
BIOS: 

■ Configuraęoes PXE de inicializaęao da płaca de rede — As placas de rede mais modernas sao 

capazes de inicializar a partir de servidores encontrados na rede. Se precisar fazer isso e achar 
que a płaca de rede nao vem como um dispositivo inicializavel na tela Boot Order, voce pode ter 
de habilitar esse recurso na BIOS. 

■ Configuraęoes de virtualizaęao — Se voce quiser executar um sistema RHEL 6 como uma 

maquina yirtual, a CPU do computador deve incluir suporte a Intel Yirtual Technology ou a AMD 
Secure Yirtual Machinę (SVM). E possivel, porem, que, mesmo que sua CPU tenha esse suporte, 
este nao esteja habilitado na BIOS. Para ativa-lo, va para a tela BIOS Setup e procure por uma 
seleęao de virtualizaęao (possivelmente sob a categoria Performance). Verifique se ela esta 
configurada como On. 

Solucionando problemas de ordem de inicializaęao 

Dependendo do hardware conectado ao computador, uma ordem de inicializaęao tipica pode carregar um 
CD/DVD em primeiro lugar, depois, uma unidade de disquete, o disco rigido, um dispositivo USB, e, por 
firn, a płaca de rede. A BIOS iria a cada dispositivo a procura de umcarregador de inicializaęao. Se a 
BIOS encontrar um carregador de inicializaęao, ela o inicia, se nao, a BIOS passa para o próximo 
dispositivo, ate que todos sejamtentados. Se nenhum carregador de inicializaęao for encontrado, o 
computador nao inicializa. 

Um problema que pode ocorrer com a ordem de inicializaęao e que o dispositivo que voce quer 
inicializar pode simplesmente nao aparecer durante ela. Nesse caso, ir para a tela Setup, como descrito 
na seęao anterior, para ativar o dispositivo ou alterar uma configuraęao a firn de torna-lo inicializavel, 
pode ser a coisa a fazer. 

Se o dispositivo a partir do qual voce quer inicializar aparecer na ordem de inicializaęao, normalmente 
voce só tem de mover a seta para destacar o dispositivo que voce quer e pressionar Enter. O que se segue 
sao razóes para escolher seu próprio dispositivo para inicializar: 

■ Modo de recuperaęao — Se o Linux nao inicializar a partir do disco rigido, selecionar a unidade 

de CD ou uma unidade USB permite que voce inicialize em um modo de recuperaęao (descrito 
mais adiante, neste capitulo), que pode ajuda-lo a reparar o disco rigido emum sistema que nao 
inicializa. Consulte a seęao “Solucionando problemas no modo de recuperaęao”, mais adiante, 
neste capitulo, para obter mais informaęóes. 

■ Nova instalaęao — As vezes, a ordem de inicializaęao tem o disco rigido listado primeiro. Se 

decidir que precisa fazer uma nova instalaęao do sistema operacional, voce tera de selecionar o 
dispositivo de inicializaęao que contem sua midia de instalaęao (CD, DVD, unidade USB ou 
płaca de rede). 



Supondo que voce ja tenha verificado todos os problemas que podemter a ver coma BIOS, o próximo 
passo e a BIOS iniciar o carregador de inicializaęao. 


Solucionando problemas do carregador de inicializaęao GRUB 

Normalmente, a BIOS encontra o registro de inicializaęao mestre (master boot record, MBR) do 
primeiro disco rigido e comeęa a carregar esse carregador emetapas. O Capitulo 9, “Instalando o 
Linux”, descreve o GRUB usado nos mais modernos sistemas Linux, incluindo RHEL, Fedora e Ubuntu. 

O carregador de inicializaęao GRUB no RHEL, descrito aqui, e urna versao mais antiga do que o 
carregador de inicializaęao GRUB 2 incluido no Fedora e no Ubuntu. 

Nesta discussao, estou interessado no carregador de inicializaęao a partir da perspectiva do que fazer se 
ele falhar ou de que maneira voce pode querer interrompe-lo para alterar o comportamento do processo 
de inicializaęao. 

Eis algumas maneiras como o carregador de inicializaęao pode falhar no RHEL 6 e algumas maneiras de 
voce superar essas falhas: 

■ Nao foi possivel localizar a partięao ativa — Quando um carregador de inicializaęao e instalado 

emuma midia de armazenamento, a partięao e normalmente marcada como inicializavel. Se voce 
vir essa mensagem, isso significa que a partięao de inicializaęao foi encontrada. Se voce achar 
que o carregador de inicializaęao esta no disco, tente usar o comando fdisk (provavelmente, a 
partir de urna midia de recuperaęao) para criar a partięao de inicializaęao e tente novamente. Veja 
o “Particionando os discos rigidos”, do Capitulo 12, “Gerenciando discos e sistemas de 
arquivos”, para mais informaędes sobre o comando fdisk. 

■ Dispositivo de inicializaęao selecionado nao disponivel — Urna mensagem como essa pode 

aparecer quando o MBR e apagado do disco rigido. Ou pode ser apenas que o conteudo do disco 
rigido espera ser carregado a partir de outro carregador de inicializaęao, como um CD de 
inicializaęao. Primeiro, tente ver se o sistema inicializa a partir de outras midias. Se descobrir 
que o MBR foi apagado, voce pode tentar inicializar a midia de recuperaęao para tentar recuperar 
o conteudo do disco. Mas se o MBR tiver sido perdido, e possivel que outros dados no disco 
tambemtenham sido apagados ou exijamuma pericia tecnica para seremlocalizados. Se o MBR 
simplesmente tiver sido sobrescrito (o que poderia acontecer se voce tiver instalado outro 
sistema operacional em urna partięao de disco diferente) talvez voce possa reinstala-lo a partir do 
modo de recuperaęao (descrito na seęao “Solucionando problemas no modo de recuperaęao”, 
mais adiante, neste capitulo). 

■ Prompt baseado emtexto do GRUB aparece — E possivel que a BIOS inicie o GRUB e va 

direto para um prompt do GRUB, sem dar nenhuma opęao de selecionar um sistema operacional 
disponivel. Isso provavelmente significa que o MBR do GRUB nao foi encontrado, mas quando o 
GRUB examinou o disco rigido para encontrar a próxima fasę do processo de inicializaęao e um 
menu de sistemas operacionais para carregar, ele nao conseguiu encontra-los. As vezes, isso 
acontece quando a BIOS detecta os discos na ordemerrada e olha para o arquivo grub . conf 
na partięao errada. 

Urna soluęao para esse problema, assumindo que grub . conf esta na primeira partięao do 



primeiro disco, e listar o conteudo desse arquivo e inserir a as linhas root, kernel e initrd 
manualmente. Para listar o arquivo, digite cat (hdO ,0) /grub/grub. conf. Se isso nao 
funcionar, tente hdO, 1 para acessar a próxima partięao no disco (e assim sucessivamente) ou 
hdl, 0 para tentar a primeira partięao do disco seguinte (e assim sucessivamente). Depois de 
encontrar as linhas que representamo arquivo grub . conf, digite manualmente as linhas root, 
kernel e initrd para a entrada que voce quer (substituindo a localizaęao do disco rigido que 
voce encontrou na linha raiz). Entao, digite boot. O sistema deve iniciar e voce pode ir e 
corrigir manualmente os arquivos do carregador de inicializaęao. Consulte o Capitulo 9 para mais 
informaęóes sobre o carregador de inicializaęao GRUB. 

Se a BIOS encontrar o carregador de inicializaęao no MBR do disco e esse carregador encontrar os 
arquivos de configuraęao do GRUB no disco, ele inicia urna contagem regressiva de cerca de tres a cinco 
segundos. Durante essa contagem, voce pode interromper o carregador de inicializaęao (antes de ele 
iniciar o sistema operacional padrao), pressionando qualquer tecla. 

Quando interromper o carregador de inicializaęao, voce devera ver um menu de entradas disponiveis 
para inicializar. Essas entradas podem representar diferentes kernels disponiveis para inicializar. Mas 
eles tambem podem representar sistemas operacionais totalmente diferentes (como o Windows, BSD ou 
Ubuntu). 

Eis algumas razóes para interromper o processo de inicializaęao a partir do menu de inicializaęao para 
solucionar problemas do Linux: 

■ Iniciar em um nivel de execuęao diferente — Sistemas RHEL 6 tipicamente iniciam no runlevel 

3 (inicializa para umprompt de texto) ou 5 (inicializa para urna interface grafica). \bce pode 
substituir o nivel de execuęao padrao, colocando um numero diferente de nivel de execuęao no 
finał da linha do kernel no menu de inicializaęao. Para fazer isso, selecione a entrada do sistema 
operacional que voce quer e digite e, destaque o kernel e digite e, e adicione o novo nivel de 
execuęao ao finał da linha (por exemplo, adicione um espaęo e o numero 1 para ir para o modo 
monousuario). Entao, pressione Enter e digite b para inicializar a nova entrada. 

Por que voce iria inicializar para diferentes nlveis de execuęao para soluęao de problemas? 
Runlevel 1 ignora autenticaęao, assim, voce pode inicializar diretamente para um prompt de root. 
Isso e bom se voce esqueceu a senha de root e precisa mudar (digite passwd para fazer isso). 
Runlevel 3 pula o carregamento de sua interface de desktop. Va para o runlevel 3, se voce estiver 
tendo problemas com o driver de video e quiser tentar depura-lo sem ele tentar iniciar 
automaticamente a interface grafica. 

■ Selecionar um kernel diferente — Quando o RHEL instala um novo kernel via yum, ele sempre 

mantem pelo menos um kernel antigo. Se o novo kernel falhar, voce sempre pode iniciar o kernel 
anterior, presumivelmente funcional. Para inicializar um kernel diferente a partir do menu do 
GRUB, basta usar a seta para destacar o que voce quer. 

■ Selecionar um sistema operacional diferente — Se tiver outro sistema operacional instalado em 

seu disco rigido, voce pode escolher inicializa-lo em vez do RHEL. Por exemplo, se voce tiver o 
Fedora e o RHEL no mesmo computador e o RHEL nao estiver funcionando, voce pode inicializar 
o Fedora, montar os sistemas de arquivos RHEL de que voce precisa e tentar corrigir o problema. 



■ Alterar as opęoes de inicializaęao — Na linha do kernel, voce vai notar que ha uma serie de 
opęóes que sao passadas para o kernel. No minimo, essas opęóes devemconter o nome do kernel 
(como vmlinuz-2.6.32 . el6 . x8 6_64) e a partięao que contemo sistema de arquivos raiz 
(como /dev/mapper/abc-root). Se quiser, voce pode adicionar outras opęóes a linha do 
kernel.\bce pode querer adicionar opędes de kernel para adicionar recursos ao kernel ou 
desativar temporariamente o suporte a hardware para um determinado componente. Por exemplo, 
adicionar init=/bin/bash faz o sistema impedir o processo de inicializaęao e ir direto para 
um shell (semelhante a execuęao de init 1). Adicionar nousb desativa temporariamente as 
portas USB (presumivelmente para garantir qualquer coisa conectada a essas portas tambem seria 
desativada). 

Supondo que voce tenha selecionado o kernel que voce quer, o carregador de inicializaęao tenta executa- 
lo, incluindo o conteudo do disco de RAM inicial (que contem os drivers e outros softwares necessarios 
para inicializar seu hardware especifico). 


Iniciando o kernel 

Depois que o kernel inicia, nao ha muito a fazer senao observar potenciais problemas. No RHEL, voce 
vera uma tela Red Hat Enterprise Linux comumicone girando lentamente. Se voce quiser observar a 
mensagens detalhando o processo de inicializaęao rolando na tela, pressione a tecla Esc. 

Nesse ponto, o kernel tenta carregar os drivers e módulos necessarios para usar o hardware no 
computador e as principais coisas a procurar (embora elas possam rolar rapidamente) sao falhas de 
hardware que podem impedir algum recurso de funcionar adequadamente. Embora muito mais raro do 
que costumava ser, pode nao haver driver disponivel para um hardware ou a unidade errada pode estar 
sendo carregada e causando erros. 

Alem de rolar na tela, as mensagens produzidas quando o kernel inicia sao copiadas para o buffer do 
kernel. Como o próprio nome indica, o buffer do kernel armazena as mensagens do kernel emum buffer, 
descartando mensagens mais antigas quando o buffer esta cheio. Depois que o computador inicializa 
completamente, voce pode entrar no sistema e digitar o seguinte comando para capturar essas mensagens 
do kernel emumarquivo (e, entao, examina-las como comando less): 

# dmesg > /tmp/kernel_msg.txt 

# less /tmp/kernel_msg.txt 

Eu gosto de direcionar as mensagens do kernel para um arquivo (escolha o nome que quiser) para que as 
mensagens possam ser examinadas mais tarde ou enviadas para alguem que pode aj udar a depurar 
problemas. As mensagens aparecemcomo componentes que sao detectados, tais como CPU, memória, 
placas de rede, discos rigidos etc. 

O que voce quer examinar sao mensagens de falha de carregamento de driver ou de falha de ativaęao de 
certos recursos do hardware. Por exemplo, certa vez eu tinha uma płaca sintonizadora de TV (para 
assistir televisao na tela do meu computador) que estava configurando o tipo errado de sintonizador para 
a płaca que foi detectada. Usando as informaęóes sobre o modelo da płaca de TV e o tipo de falha, 
descobri que passando uma opęao para o driver da płaca me permitia experimentar diferentes 



configuraęóes ate eu encontrar a que correspondia com minha płaca de TY 

Ao descrever como visualizar as mensagens de inicializaęao do kernel, adiantei-me um pouco. Antes que 
voce possa entrar e ver as mensagens do kernel, ele precisa terminar de carregar o sistema. Assim que o 
kernel termina a detecęao e o carregamento iniciais dos drivers de hardware, ele passa o controle de tudo 
o mais que precisa ser feito para inicializar o sistema ao processo init. 

Solucionando problemas do processo init 

O processo init do Red Hat Enterprise Linux versao 6 esta atualmente migrando do conhecido estilo 
SystemV de iniciar os servięos para urna versao mais recente do processo init, chamada Upstart. 

Nesta seęao, descreverei como o antigo processo init funciona e, entao, mencionarei como isso e 
diferente emvers5es mais recentes do Fedora e provavelmente vers5es posteriores do RHEL. (O 
Capitulo 15, “Iniciando e parando servięos”, contemmais detalhes sobre o processo de init e Scripts 
de inicializaęao.) 

No RHEL, quando o kernel passa o controle do processo de inicializaęao para o processo init, este 
verifica o arquivo /etc/inittab para obter instruęóes sobre como carregar o sistema. O arquivo 
inittab informa ao processo init qual e o nivel de execuęao padrao e, entao, aponta para arquivos 
no diretório /etc/init a firn de fazer coisas como remapear algumas teclas (como Ctrl+Alt+Delete 
para reiniciar o sistema), iniciar consoles virtuais e identificar o local do script para inicializar servięos 
basicos no sistema: /etc/rc . sysinit. 

Quando voce estiver solucionando problemas no Linux que ocorrem depois que o processo init 
assume, dois provaveis culpados sao o processamento do arquivo rc . sysinit e os Scripts de 
runlevel. 

Solucionando problemas do script rc.sysinit 

Como o nome indica, o script / etc/rc. sysinit inicializa muitos recursos basicos do sistema. 
Quando o arquivo e executado por init, rc.sysinit configura o nome do host do sistema, configura 
os sistemas de arquivos /proc e /sys, configura o SELinux, configura os parametros do kernel e 
realiza dezenas de outras aęóes. 

Urna das funęóes mais importantes de rc.sysinit e configurar o armazenamento no sistema. De fato, 
se o processo de inicializaęao falhar durante o processamento de rc . sysinit, muito provavelmente o 
script nao foi capaz de encontrar, montar ou decodificar os dispositivos de armazenamento local ou 
remoto necessarios para o sistema funcionar. A seguir esta urna lista de algumas falhas comuns que 
podemocorrer em decorrencia de tarefas executadas a partir do arquivo rc.sysinite maneiras de 
lidar comessas falhas. 

■ Montagens locais falham— Se ocorrer urna falha de montagem de urna entrada no arquivo 
/etc/f stab, o processo de inicializaęao termina antes que os servięos de runlevel iniciem 
Isso normalmente acontece quando voce adiciona urna entrada com erro ao arquivo 
/etc/f stab, mas esquece de testa-la antes de reiniciar. Quando o arquivo f stab falha, voce 
e levado para um shell do usuario root com o sistema de arquivos raiz montado somente para 



leitura. Para corrigir o problema, e preciso remontar o sistema de arquivos raiz, corrigir o 
arquivo f stab, montar a entrada do sistema de arquivos para ter certeza de que agora ela 
funciona e reiniciar. Eis como se parece a sequencia de comandos: 

# mount -o remount,rw / 

# vim /etc/fstab 

# mount -a 

# reboot 


ta 

mando vim e usado particularmente ao editar o arquivo /etc/f stab porque ele conhece o formato do 
ivo. Quando voce usa vim, as colunas aparecem em cores e uma verificaęao de erros e feita. Por exemplo, as 
idas no campo Mount Options tornam-se verdes quando sao validas e pretas quando nao. 


■ Hostname nao definido — Se sua maquina nao estiver configurada corretamente, voce pode 

verificar o processamento de rc . sysinit para ver o que pode ter dado errado. Para 
configurar o hostname do sistema, rc . sysinit usa o valor de HOSTNAME = no arquivo 
/etc/sysconf ig/network. Se isso nao for configurado, o nome localhost e usado. O valor 
de hostname tambem pode ser adquirido a partir do servidor DHCP. 

■ Nao e possivel descriptografar o sistema de arquivos — O script rc . sysinit procura no 

arquivo /etc/crypttab informaęóes necessarias para descriptografar sistemas de arquivos 
criptografados. Se esse arquivo estiver corrompido, voce pode precisar encontrar um backup dele 
para ser capaz de descriptografar o sistema de arquivos. Se for solicitado a fornecer uma senha e 
nao souber qual e, voce pode estar sem sorte. 

Outros recursos tambem sao configurados pelo arquivo rc.sysinit. O script rc. sysinit 
configura o modo do SELinux e carrega módulos de hardware. O roteiro constrói arrays RAID de 
software e configura grupos de yolumes e volumes LVM (Logical \blume Management). Problemas que 
ocorrem em qualquer uma dessas areas sao refletidos em mensagens de erro que aparecem na tela após a 
inicializaęao do kernel e antes que processos de runlevel iniciem. 

Solucionando problemas de processos de runlevel 

No Red Hat Enterprise Linux 6.x e vers5es anteriores, quando o sistema inicializa pela primeira vez, os 
seryięos sao iniciados combase no nivel de execuęao padrao. Ha sete diferentes niveis de execuęao, de 
0 a 6. O nivel de execuęao padrao e tipicamente 3 (para um seryidor) ou 5 (para um desktop). Eis as 
descrięóes dos niveis de execuęao em sistemas Linux ate o RHEL 6: 

■ 0 — Nivel de execuęao desligado. Todos os processos estao parados e o computador esta 

desligado. 

■ 1 — Nivel de execuęao monousuario. Apenas os processos que sao necessarios para inicializar o 

computador (incluindo montagem de todos os sistemas de arquivos) e ter o sistema disponiyel a 
partir do console sao executados. Redes e seryięos de rede nao sao iniciados. Esse nivel de 






execuęao ignora a autenticaęao normal e inicializa ate um prompt do usuario root (chamado 
sulogin). Se inicializar nesse modo, voce pode usa-lo para se tornar imediatamente o usuario 
root para alterar a senha de root perdida. (\bce tambempode usar a palavra single em vez de 
1 para chegar a umnivel de execuęao monousuario. Adiferenęa entre single e 1 e que 
single nao inicia Scripts no diretório /etc/rcl. d) 

■ 2 — Nivel de execuęao multiusuario. Esse nivel de execuęao e raramente utilizado hoje e seu 

significado original foi perdido. Os primeiros sistemas UNIX utilizavam-no para iniciar 
processos tty para sistemas emque havia varios terminais burros conectados para as pessoas 
usarem Isso permitia que muitas pessoas acessassemumsistema simultaneamente a partir de 
terminais baseados em caractere (varias pessoas trabalhando a partir de um shell sem interface 
grafica). As placas de rede nao eram iniciadas, geralmente porque as placas de rede sempre 
ativas nao eramcomuns. Hoje emdia, o nivel de execuęao 2 normalmente iniciara as placas de 
rede, embora nemtodos os servięos de rede sejaminiciados. 

■ 3 — Nivel de execuęao multiusuario mais rede. Esse nivel de execuęao e normalmente usado em 

servidores Linux que nao inicializam para urna interface grafica, mas sim apenas um prompt de 
texto simples no console. A rede e iniciada, assimcomo o sao todos os servięos de rede. Um 
ambiente grafico pode ou nao ser instalado (geralmente nao) em maquinas que inicializam no 
nivel de execuęao 3, mas os ambientes graficos devem ser iniciados após a inicializaęao para 
serem utilizados. 

■ 4 — Nao definido. Esse nivel de execuęao tende a iniciar os mesmos servięos que o nivel de 

execuęao 3. Ele pode ser usado se voce quiser ter diferentes servięos disponiveis a partir dos 
niveis de execuęao 3 e 4. Esse nivel de execuęao nao e normalmente usado. Em vez disso, o nivel 
de execuęao 3 ou 5 e usado para inicializar, com um administrador simplesmente ativando ou 
desativando servięos conforme a necessidade do sistema em funcionamento. 

■ 5 — Nivel de execuęao multiusuario, rede, mais interface grafica. Esse e o nivel de execuęao 

tipicamente usado com sistemas desktop Linux. Ele normalmente inicia a rede e todos os servięos 
dela, alem disso, carrega um prompt de login grafico no console. Ao fazer login, os usuarios veem 
um ambiente de desktop grafico. 

■ 6 — Nivel de execuęao de reinicializaęao. Esse e como o nivel de execuęao 0 no sentido de que 

derruba todos os servięos e interrompe todos os processos. Mas o nivel de execuęao 6, entao, 
inicia o sistema novamente. 

Niveis de execuęao destinam-se a configurar o nivel de atividade em um sistema Linux. Um nivel de 
execuęao padrao e configurado no arquivo /etc/inittab, mas voce pode altera-lo sempre que quiser 
usar o comando init. Por exemplo, como root, voce pode di gitar init 0 para desligar, init 3 se 
quiser eliminar a interface grafica (a partir do runlevel 5), mas deixar todos os outros servięos ativos, ou 
init 6 para reiniciar. 

Os niveis de execuęao padrdes normais (em outras palavras, o nivel de execuęao para o qual voce 
inicializou) sao 3 (para um servidor) e 5 (para um desktop). Muitas vezes, os servidores nao tern 
desktops instalados e inicializam no nivel de execuęao 3 porque nao querem incorrer em sobrecarga de 
processamento ou nos riscos adicionais de seguranęa de ter um desktop rodando em seus seryidores web 



ou servidores de arquivos. 

\bce pode ir para cima ou para baixo nos mveis de execuęao. Por exemplo, um administrador fazendo 
manutenęao em um sistema pode inicializar para um nlvel de execuęao e di gitar init 3 a firn de 
inicializar para os servięos completos necessarios em um servidor. Alguem depurando um desktop pode 
inicializar para o nivel de execuęao 5 e depois descer para o nivel de execuęao 3 para tentar corrigir o 
desktop (como instalar umnovo driver ou mudar a resoluęao de tela) antes de digitar init 5 para 
voltar ao desktop. 

O nivel dos servięos em cada nivel de execuęao e determinado pelos Scripts de runlevel que estao 
configurados para iniciar. Ha diretórios rc para cada nivel de execuęao: /etc/rcO . d/, 

/etc/rcl. d/, /etc/rc2 . d/, /etc/rc3 . d/ etc. Quando umaplicativo temumscript de 
inicializaęao associado a ele, esse script e colocado no diretório /etc/init.d/ e, entao, 
simbolicamente vinculado a umarquivo emcada diretório /etc/rc?.d/. 

Scripts vinculados a cada diretório /etc/rc?. d comeęamcoma letra K ou S, seguidas de dois 
numeros e o nome do servięo. Um script comeęando com K indica que o servięo deve ser interrompido, 
enquanto um comeęando com um S indica que ele deve ser iniciado. Os dois numeros que se seguem 
indicam a ordem em que o servięo e iniciado. Eis alguns arquivos que voce pode encontrar no diretório 
/etc/rc3.d/, que sao configurados para iniciar (com urna descrięao de cada urna direita): 

■ SOlsysstat — Inicia a coleta de estatisticas do sistema. 

■ S08iptables — Inicia o firewall iptables. 

■ SlOnetwork — Inicia as placas de rede. 

■ S12rsyslog — Inicia o log do sistema. 

■ S28autofs — Inicia o montador. 

■ S5 0bluetooth — Inicia o servięo Bluetooth. 

■ S55sshd — Inicia o servięo secure shell. 

■ S58ntpd — Inicia o servięo de sincronizaęao de hora NTP. 

■ S85httpd — Inicia o servięo web Apache. 

■ S90crond — Inicia o servięo crond. 

■ S 9 1 smb — Inicia o servięo samba. 

■ S97rhnsd — Inicia o servięo do Red Hat NetWork. 

■ S991ocal — Inicia comandos locais definidos pelo usuario. 

Esse exemplo de alguns servięos iniciados a partir do diretório /etc/rc3.d deve dar urna noęao da 
ordem emque os processos inicializam quando voce entra no nivel de execuęao 3. Observe que o servięo 
sysstat (que coleta as estatisticas do sistema) e o seryięo iptables (que cria o sistema de firewall) 




sao ambos iniciados antes das placas de rede. Estes sao seguidos por rsyslog (servięo de log do 
sistema) e, depois, pelos varios servięos de rede. 

No momento em que os Scripts de nlvel de execuęao comeęam, voce ja deve ter um sistema basicamente 
funcional. Ao contrario de alguns outros sistemas Linux que iniciamtodos os Scripts de nivel de execuęao 
1, depois 2, depois 3 etc., o RHEL vai direto para o diretório que representa o mvel de execuęao, 
primeiro parando todos os servięos que comeęam com K e iniciando todos aqueles que comeęam com S 
no diretório. 

A medida que cada script S e executado, voce vera urna mensagem dizendo se o servięo foi iniciado. Eis 
algumas coisas que podem dar errado durante essa fasę de inicializaęao do sistema: 

■ Um servięo pode falhar. Um servięo pode exigir o acesso a placas de rede para iniciar 

corretamente ou o acesso a urna partięao de disco que nao esta montada. A maioria dos servięos 
ira expirar, falhar e permitir que o próximo script seja executado. Depois que voce for capaz de 
efetuar o login, podera depurar o servięo. Algumas tecnicas de depuraęao de servięos incluem 
adicionar urna opęao de depuraęao ao processo daemon para ele fornecer mais dados emum 
arquivo de log ou executar o processo daemon manualmente, de modo que as mensagens de erro 
venham diretamente para sua tela. Veja o Capitulo 15 para obter mais informaęóes sobre como 
iniciar servięos manualmente. 

■ Umservięo pode travar. Alguns servięos que nao recebemo que precisampara iniciar podem 

travar indefinidamente, impedindo o registro em log para depurar o problema. Alguns processos 
levam mais tempo para subir pela primeira vez após urna nova instalaęao, entao, voce pode 
querer esperar por alguns minutos para ver se o script ainda esta funcionando e nao apenas 
girando em loop infinito. 

Se nao puder passar por umservięo travado, voce pode reiniciar emum modo de inicializaęao 
interativo, no qual voce e perguntado se quer iniciar cada servięo. Para entrar no modo de inicializaęao 
interativo no RHEL, reinicialize e interrompa o carregador de inicializaęao (pressione qualquer tecla 
quando vir a contagem regressiva de 5 segundos). Destaque a entrada que voce quer iniciar e digite e. 
Destaque a linha do kernel e digite e. Entao, adicione a palavra conf irm ao finał da linha do kernel, 
pressione Enter e digite b para iniciar o novo kernel. 

A Figura 21.1 mostra um exemplo das mensagens que aparecem quando o RHEL inicia no modo de 
inicializaęao interativo. 



RA 21.1 


rme cada servięo no modo de inicializaęao interativo do RHEL. 


Amaioria das mensagens mostradas na Figura 21.1 e gerada a partir de rc.sysinit. 

Após a mensagemde boas-vindas, udev inicia (para cuidar de qualquer novo hardware que seja 
conectado ao sistema e carregar drivers quando necessario). O hostname e configurado, os volumes LVM 
(Logical \folume Management) sao ativados, todos os sistemas de arquivos sao verificados (com os 
yolumes LVM adicionados), quaisquer sistemas de arquivos ainda nao montados sao montados, o sistema 
de arquivos raiz e remontado para leitura e gravaęao e qualquer LVM de swap e habilitado. Consulte o 
Capitulo 12 para mais informaęóes sobre LVM e outros tipos de partięao e sistema de arquivos. 

A ultima mensagem “Entering interactive startup” (“Entrando na inicializaęao interativa”) informa que 
rc . sysinit concluiu e os servięos para o nivel de execuęao selecionado estao prontos para iniciar. 
Como o sistema esta no modo interatiyo, aparece urna mensagem perguntando se voce quer iniciar o 
primeiro servięo (sysstat). Digite Y para iniciar o servięo e va para o próximo. 

Depois de ver o servięo problematico pedindo para iniciar, digite N para impedir que ele seja iniciado. 
Se, em algum momento, voce achar que e seguro iniciar os demais servięos, digite C para continuar a 
carrega-los. Depois que seu sistema subiu, com os servięos problematicos nao iniciados, voce pode 
voltar e tentar depurar esses servięos individualmente. 

Umultimo comentario sobre Scripts de inicializaęao: o arquivo /etc/rc.local e umdos ultimos 
seryięos a executar em cada nivel de execuęao. Como um exemplo, no nivel de execuęao 5, ele esta 
yinculado a /etc/rc5.d/S991ocal. Qualquer comando que voce quiser executar cada vez que seu 
sistema iniciar pode ser colocado no arquivo rc . local. \foce poderia usar rc . local para enviar 
urna mensagem de e-mail ou executar urna regra de firewall iptables rapida quando o sistema e iniciado. 
Em geral, e melhor usar um script de inicializaęao existente ou criar um novo por conta própria (para que 
voce possa gerenciar o comando ou comandos como um seryięo). Saiba que o arquivo rc.locale urna 
maneira rapida e facil de fazer alguns comandos serem executados cada vez que o sistema e inicializado. 


ta 

dora nao usa mais niveis de execuęao ou Scripts init do System V para indicar qual servięo iniciar quando o 
ma e inicializado e desligado. Em vez disso, ele utiliza o que se costuma chamar de unidades de destino (target 
s). Ha unidades de destino multi-user. target (semelhantes ao nivel de execuęao 3) e 
phical. target (semelhantes ao nivel de execuęao 5), que saoconfiguradas para determinarquais servięos 
tr quando o sistema e inicializado. 0 novo metodo substitui o antigo servięo init pelo servięo systemd. (0 
ando /sbin/init ainda funciona, mas e um vinculosimbólico para /bin/systemd.) 

itodo systemd de iniciarservięos tern varias vantagens sobre o metodo anterior. Enquanto os Scripts init do 
am V passam por cada servięo, um após o outro, ate que todos tenham sido iniciados, systemd permite 
truir dependencias mais complexas entre servięos. A vantagem e que, enquanto alguns servięos estao a espera 
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recurso, outros, que nao dependem do servięo em espera, podem iniciar. 


Depois que o ultimo servięo inicia, aparece uma tela de login. Seu sistema deve estar totalmente 
operacional. Comece a usar o sistema ou continue o processo de soluęao de problemas, conforme 
necessario. A próxima seęao descreve como solucionar problemas que podem surgir com seus pacotes de 
software. 


Solucionando problemas de pacotes de software _ 

Facilidades de empacotamento de software (como yum para o RPM e apt-get para pacotes DEB) sao 
projetadas para que voce gerencie o software do sistema mais facilmente. (Consulte o Capltulo 10, 
“Obtendo e gerenciando software”, para os prindpios basicos sobre como gerenciar pacotes de 
software.) Apesar dos esforęos para fazer todo o trabalho, as vezes o empacotamento de software pode 
falhar. 

As próximas seęóes descrevem alguns problemas comuns que voce pode encontrar com pacotes RPM em 
um sistema RHEL ou Fedora e como voce pode supera-los. 

Voce tenta instalar ou atualizar um pacote usando o comando yum e mensagens de erro dizem que os 
pacotes dependentes que voce precisa para fazer a instalaęao nao estao disponlveis. Isso pode acontecer 
em pequena escala (ao tentar instalar um pacote) ou em grandę escala (ao tentar atualizar ou fazer um 
upgrade do sistema inteiro). 

Por causa dos curtos ciclos de release e o grandę tamanho dos repositórios do Fedora e do Ubuntu, 
inconsistencias nas dependencias de pacotes sao mais provaveis de ocorrer do que nos repositórios 
menores e mais estaveis (como os oferecidos pelo Red Hat Enterprise Linux). Para evitar falhas de 
dependencia, eis algumas praticas recomendadas que voce pode seguir: 

■ Use repositórios recentes e bem-testados. Ha milhares de pacotes de software no Fedora. Se 

voce usar os repositórios principais para instalar o software da versao atual, e raro ter problemas 
de dependencia. 

Quando os pacotes sao adicionados ao repositório, desde que o mantenedor do repositório 
execute os comandos corretos para configura-lo (e voce nao use repositórios externos), raramente 
ocorrerao problemas de dependencia. Mas quando voce comeęa a usar repositórios de terceiros, 
eles podem depender de repositórios que nao podem controlar. Por exemplo, se um repositório 
cria uma nova versao de seu próprio software que requer versoes posteriores do software basico 
(como bibliotecas), que sao entregues com o repositório Fedora, as versóes de que eles precisam 
podem nao estar disponiveis no repositório Fedora. 

■ Atualize consistentemente seu sistema. Executar yum update todas as noites torna a 

ocorrencia de grandes problemas de dependencia menos provavel do que se voce atualizar seu 
sistema apenas a cada alguns meses. No Fedora, ha um pacote yum-updatesd que permite 
fazer verificaęóes noturnas de atualizaęóes e, entao, enviar e-mails para um usuario de sua 
escolha se houver atualizaęóes disponiveis. No RHEL, voce poderia criar um trabalho cron 
para yerificar se ha atualizaęóes ou executar atualizaęóes noturnas. Yeja o quadro “Usando cron 





para atualizaęóes de software”, para detalhes sobre como fazer isso. 


■ Ocasionalmente, faęa umupgrade de seu sistema. O Fedora e o Ubuntu lanęamnovas releases a 
cada seis meses. O Fedora interrompe o fornecimento de pacotes atualizados para cada versao 13 
meses depois que ela e lanęada. Assim, embora nao precise fazer um upgrade para cada nova 
release a cada seis meses, voce deve atualizar urna vez por ano ou enfrentar possiveis problemas 
de dependencia e de seguranęa quando o Fedora parar de fornecer atualizaęóes. Se voce estiver 
procurando por um sistema estavel, o Red Hat Enterprise Linux e a melhor aposta, porque ele 
fornece atualizaęóes para cada versao principal (major release ) por sete anos. 


ta 

oce usa o comando apt-get no Ubuntu para atualizar seus pacotes, tenha em mente que ha diferentes 
ficados para as opęóes update e upgrade no Ubuntu com o comando apt-get do que ha com o 
ando yum (no Fedora e no RHEL). 

buntu, o comando apt-get update faz com que os metadados (nome, numero de versao do pacote etc.) 
recentes dos pacotes sejam baixados para o sistema local. Executar apt-get upgrade faz com que o 
ma atualize os pacotes instalados que possuem novas versoes dispomveis, com base nos ultimos metadados 
ados. 

lontraposięao, cada vez que voce executa um comando yum no Fedora ou no RHEL, os ultimos metadados sobre 
s pacotes sao baixados. Ao executar yum update, voce tern os pacotes mais recentes disponiveis para a 
jo atual do Fedora ou do RHEL Quando voce executar yum upgrade, o sistema realmente tenta fazer um 
ade para urna versao totalmente nova dessas distribuięóes (como do Fedora 16 para o Fedora 17). 


Se voce encontrar umproblema de dependencia, ha algumas coisas que pode fazer para tentar resolve-lo: 

■ Use repositórios estaveis. Para releases recentes de distribuięóes conhecidas (RHEL, Fedora ou 

Ubuntu, por exemplo), problemas de dependencia sao raros e costumam ser corrigidos 
rapidamente. Mas se voce estiver confiando em repositórios para releases mais antigas ou 
repositórios voltados para desenvolvimento (como repositório rawhide do Fedora), espere 
encontrar mais problemas de dependencia. Reinstalar ou fazer upgrade pode, muitas vezes, 
corrigir problemas de dependencia. 

■ Utilize aplicativos de terceiros e repositórios somente ąuando necessario. Quanto mais longe 

voce ficar do nucleo de urna distribuięao Linux, mais provavelmente tera problemas de 
dependencia um dia. Sempre procure sua distribuięao nos principais repositórios antes de 
procurar um pacote emoutro lugar ou tentar construir umvoce mesmo. 

Mesmo que ele funcione quando voce o instalar, um pacote que alguem simplesmente deu para 
voce pode nao ser passivel de upgrade. Um pacote de um repositório de terceiros pode falhar se 
os criadores nao fornecerem urna nova versao quando os pacotes dependentes mudarem 

■ Resolva dependencias relacionadas como kernel. Se voce pegar os pacotes RPM de terceiros 

para coisas como placas de video ou placas de rede sem fio que contem os drivers do kernel e 
instalar um kernel mais tarde, esses drivers nao funcionarao mais. O resultado pode ser que a tela 






de login grafica nao sera iniciada quando o sistema for inicializado ou sua płaca de rede nao sera 
carregada, deixando voce sem rede sem fio. 

Como a maioria dos sistemas Linux mantem os dois nucleos mais recentes, voce pode reiniciar, 
interromper o GRUB e selecionar o kernel anterior (ainda funcional) para inicializar. Isso coloca 
seu sistema de pe, com o kernel e os drivers antigos funcionando, enąuanto voce procura urna 
correęao mais permanente. 

A soluęao de longo prazo e obter umnovo driver que foi recompilado para seu kernel atual. Ha 
sites, como o rpmfusion . org, que compilampacotes de drivers nao abertos de fornecedores 
independentes e atualizamos drivers quando umnovo kernel esta disponivel. Como repositório 
rpmfusion . org ativado, o sistema deve buscar os novos drivers quando o kernel for 
adicionado. 

Como urna alternativa para sites como o rpmfusion . org, voce pode ir direto para o site do 
fabricante e tentar baixar e compilar o driver voce mesmo (a Nvidia oferece drivers Linux para 
suas placas de video) ou, caso o código-fonte esteja disponivel para o driver, voce mesmo pode 
tentar compilar. 

■ Exclua alguns pacotes da atualizaęao. Se estiver atualizando um grandę numero de pacotes de 

urna só vez, voce pode excluir os pacotes que falham em fazer os outros funcionarem a medida 
que voce tenta resolver os problematicos. Veja como atualizar todos os pacotes que necessitamde 
atualizaęao, com exceęao do pacote chamado somepackage (substitua somepackage pelo nome 
do pacote que voce quer excluir): 

# yum -y --exclude=somepackage update 

■ Tente fazer umpre-upgrade para os upgrades. Se voce estiver fazendo umupgrade do Fedora 

de urna versao para outra (por exemplo, do Fedora 16 para o Fedora 17), ha urna ferramenta 
chamada preupgrade que voce pode usar em vez de apenas digitar yum upgrade. A 
vantagemde executar preupgrade primeiro e que esse comando verifica as dependencias e 
baixa todos os pacotes necessarios antes de comprometer seu sistema com o upgrade, de modo 
que voce nao acabe com um meio upgrade do sistema. \bce tambem pode continuar usando seu 
sistema durante esse processo. 

Se tiver problemas de dependencia durante o preupgrade, voce pode trabalhar comeles antes 
de a atualizaęao realmente ocorrer. Remover pacotes que tern problemas de dependencia e urna 
forma de lidar com o problema (yum r emove somepackage ). Urna vez que o upgrade esta 
concluido, muitas vezes voce pode adicionar o pacote de volta, usando urna versao dele que pode 
ser mais consistente com os novos repositórios que a que voce esta usando. 


sando cron para atualizaęóes de software 


recurso cron oferece uma maneira de executar comandos em momentos e intervalos pre- 




terminados. Voce pode configurar o exato minuto, hora, dia ou mes que urn comando e 
ecutado. Voce pode configurar urn comando para executar a cada cinco minutos, a cada tres 
ras, ou em urna hora especifica na tarde de sexta-feira, por exemplo. 

s quiser usar cron para configurar atualizaęoes de software noturnas, voce pode fazer isso 
mo usuario root executando o comando crontab -e. Isso abre urn arquivo usando seu 
itor padrao (o comando vi por padrao), que voce pode configurar como urn arquivo 
ontab. Abaixo, veja urn exemplo da aparencia que pode ter o arquivo crontab que voce 
a: 

i arquivo crontab consiste em cinco campos, designando dia e hora, e urn sexto campo, 
ntendo a linha de comando a ser executada. Eu adicionei a linha de comentario para indicar 
campos. Aqui, o comando de yum -y update e executado, com sua saida enviada para o 
uario root@localhost. O comando e executado as 23:59. Os asteriscos (*) sao 
rigatórios como espaęos reservados, instruindo cron a executar o comando a cada dia do 
js, a cada mes e a cada dia da semana. 

jando voce cria urna entrada no cron, certifique-se de que quer direcionar a saida para urn 
quivo ou urn comando que pode lidar com a saida. Se voce nao fizer isso, qualquer saida e 
viada para o usuario que executou o comando crontab -e (neste caso, root). 

i urn arquivo crontab, voce pode ter urna serie de numeros, urna lista de numeros ou 
lorar os numeros. Por exemplo, l, 5 ou 17 no primeiro campo fazem com que o comando 
ja executado 1, 5 e 17 minutos após a hora. Urn */3 no segundo campo faz com que o 
mando seja executado a cada tres horas (meia-noite, 3:00, 6:00 etc.). Urn 1-3 no quarto 
mpo instrui cron a executar o comando em janeiro, fevereiro e maręo. Dias da semana e 
jses podem ser introduzidos como numeros ou palavras. 

ira mais informaęoes sobre o formato de urn arquivo crontab, digite man 5 crontab. 
ira ler sobre o comando crontab, digite man 1 crontab. 


Corrigindo bancos de dados e cache RPM 

Informaęóes sobre todos os pacotes RPM em seu sistema sao armazenadas em seu banco de dados RPM 
local. Embora isso aconteęa commuito menos freąuencia do que nas vers5es anteriores do Fedora e 
RHEL, e possivel que o banco de dados RPM torne-se corrompido. Isso impede voce de instalar, 
remover ou listar pacotes RPM. 

Se seus comandos rpm e yum estiverem travando ou falhando e retornando urna mensagem rpmdb open 
fails, voce pode tentar reconstruir o banco de dados RPM. Para verificar se nao e umproblema em seu 
banco de dados RPM, voce pode executar o comando de yum check. Eis umexemplo da saida do 
comando com um banco de dados corrompido: 


# yum check 

error: db4 error(ll) from dbenv->open: Resource temporarily 




unavailable 

error: cannot open Packages index using db4 - Resource temporarily 
unavailable (11) 

error cannot open Packages database in /var/lib/rpm 
CRITICAL:yum.main: 

Error: rpmdb open fails 

O banco de dados RPM e outras informaęóes sobre os pacotes RPM instalados estao armazenados no 

diretório /var/lib/rpm. \foce pode remover os arquivos de banco de dados que comeęamcom_ 

db* e reconstrm-los a partir dos metadados armazenados emoutros arquivos no diretório. 

Antes de comeęar, e urna boa ideia fazer o backup de /var/lib/rpm. Depois, voce precisa remover 
os antigos arquivos_ db* e reconstrm-los. Digite os seguintes comandos para fazer isso: 

# cp -r /var/lib/rpm /tmp 

# cd /var/lib/rpm 

# rm db* 

# rpm --rebuilddb 

Novos arquivos_ db* devemaparecer depois de alguns segundos no diretório. Tente umcomando 

rpm ou yum simples para garantir que os bancos de dados agora estejamemordem. 

Assimcomo RPM tem bancos de dados de pacotes instalados localmente, o recurso Yumarmazena 
informaęóes associadas com repositórios Yum no diretório /var/cache/yum local. Os dados em 
cache incluem metadados, cabeęalhos, pacotes e dados de plug-in do yum. 

Se houver algum problema com os dados armazenados em cache pelo yum, voce pode limpa-lo. Na 
próxima vez que voce executar umcomando yum, os dados necessarios sao baixados novamente. Eis 
algumas razóes para limpar o cache do yum: 

■ Os metadados estao obsoletos. Na primeira vez que voce se conecta a um repositório Yum 

(baixando um pacote ou consultando o repositório), os metadados sao baixados para seu sistema. 
Os metadados consistem em informaęóes sobre todos os pacotes disponiveis a partir do 
repositório. 

A medida que pacotes sao adicionados e removidos do repositório, os metadados tem de ser 
atualizados ou seu sistema estara trabalhando a partir de informaęóes dos pacotes antigos. Por 
padrao, se voce executar umcomando yum, este procura novos metadados se os velhos tiverem 
mais de 90 minutos de idade (ou quantos minutos estiverem configurados na opęao 

metadata_expire= do arquivo /etc/yum. conf). 

Se suspeitar que os metadados estejam obsoletos, mas o tempo de expiraęao nao foi alcanęado, 
voce pode executar yum clean me ta da ta para remover todos os metadados, foręando 
novos metadados a serem carregados no próximo upload. Alternativamente, voce pode executar 
yum makecache para atualizar os metadados de todos os repositórios. 

■ Voce esta semespaęo em disco. Normalmente, o yum pode armazenar em cache algumas centenas 



de megabytes de dados nos diretórios /var/cache/yum. Mas, dependendo das configuraęóes 
de seuarquivo /etc/yum. conf (como keepcache=l, que mantemtodos os RPMs 
baixados, mesmo depois que eles foram instalados), os diretórios de cache podem conter yarios 
gigabytes de dados. 

Para limpar todos os pacotes, metadados, cabeęalhos e outros dados armazenados no diretório 
/var/cache / yum, digite o seguinte: 

# yum clean all 

Neste ponto, o sistema vai comeęar a baixar informaęóes atualizadas de repositórios da próxima vez que 
um comando yum for executado. 

Apróxima seęao aborda informaęóes sobre soluęao de problemas de rede. 


Solucionando problemas rede _ 

Com cada vez mais informaęóes, imagens, videos e outros conteudos que usamos todo dia agora 
disponiveis fora dos nossos computadores locais, urna conexao de rede e necessaria em quase todos os 
sistemas de computador. Entao, se sua conexao de rede cair ou nao puder alcanęar os sistemas com os 
quais voce quer se comunicar, e bom saber que ha muitas ferramentas no Linux para aj udar a resolver o 
problema. 

Para computadores clientes (laptops, desktops e dispositivos portateis), a conexao de rede e necessaria 
para alcanęar outros sistemas de computador. Em um servidor, voce quer que seus clientes sejamcapazes 
de alcanęar voce. As próximas seęóes descrevem diferentes ferramentas para soluęao de problemas de 
conectividade de rede para sistemas cliente e seryidor Linux. 


Solucionando problemas de conexóes de saida 

\foce abre seu navegador, mas nao consegue entrar em nenhum site. \óce suspeita de que nao esta 
conectado a rede. Talvez o problema seja a conyersao de nomes, mas pode ser a conexao fora de sua 
rede local. 

Para yerificar se suas conexóes de rede de saida estao funcionando, voce pode usar muitos dos comandos 
descritos no Capitulo 14, “Administrando redes”. \bce pode testar a conectividade por meio de um 
comando ping simples. Para ver se a conyersao de nome para endereęo esta funcionando, use host e 
dig. 

As próximas seęóes abordam problemas que podem ocorrer com a conectividade de rede para conexóes 
de saida e quais ferramentas usar para descobrir os problemas. 

Visualize as placas de rede 

Para ver o estado de suas placas de rede, use o comando ip. O resultado a seguir mostra que a interface 
de loopback (lo) esta ativa (de modo que voce pode executar comandos de rede em seu sistema local), 
mas ethO (sua primeira płaca de rede comfio) e baixo (state DOWN). Se a płaca estiyesse ativa, nao 




haveria urna linha inet mostrando o endereęo IP da płaca. Aqui, apenas a interface de loopback tem um 
endereęo inet (127.0.0.1). 

# ip addr show 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noąueue State UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 :: 1/128 scope host 

valid_lft forever preferred_lft forever 

2: ethO: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 State DOWN 
qlen 1000 

link/ether f0:de:f1:28:46:d9 brd ff:ff:ff:ff:ff:ff 

Verifique as conexóes fisicas 

Para urna conexao com fio, verifique se seu computador esta conectado a porta do switch da rede. Se 
voce tiver varias placas de rede, verifique se o cabo esta conectado a porta correta. Se voce sabe o nome 
de urna płaca de rede (ethO, p4pl ou outra), para descobrir qual płaca de rede esta associada a 
interface, digite ethtool -p ethO a partir da linha de comando e olhe atras de seu computador para 
ver qual płaca de rede estao piscando (Ctrl+C para de piscar). Conecte o cabo na porta correta. 

Se, em vez de mostrar urna płaca de rede desativada, o comando ip simplesmente nao mostrar nenhuma 
płaca de rede, verifique se o hardware nao esta desabilitado. No caso de urna płaca de rede com fio, ela 
pode nao estar bem encaixada em seu slot ou pode ter sido desabilitada na BIOS. 

Em urna conexao sem fio, voce pode clicar no łcone do NetworkManager e nao ver urna płaca sem fio 
dispomvel. Mais urna vez, ela pode estar desabilitada na BIOS. Mas, emum laptop, verifique se nao ha 
umminusculo interruptor que desativa a płaca de rede. Ja vi yarias pessoas retalharem suas 
configuraęóes de rede apenas para descobrir que esse minusculo interruptor na parte da frente ou do lado 
de seus laptops foi mudado para a posięao desligado. 

Verifiqueasrotas 

Se sua płaca de rede estiver ativa, mas voce ainda nao puder alcanęar o host desejado, tente verificar a 
rota para esse host. Comece verificando sua rota padrao. Entao, tente alcanęar o dispositivo de gateway 
da rede local para a rede seguinte. Por firn, tente “pingar” umsistema emalgumlugar na internet: 

# route 

route 

Kernel IP routing table 

Eestination Gateway Genmask Flags Metric Ref Use Iface 

192.168.0.0 * 255.255.255.0 U 2 0 0 ethO 

default 192.166.0.1 0.0.0.0 UG 0 0 0 ethO 

A linha padrao mostra que o gateway padrao (UG) esta no endereęo 192.168.0.1 e que o endereęo pode 

ser alcanęado pela płaca ethO. Como ha apenas a płaca ethO aqui e apenas urna rota para a rede 
192.168.0.0 e mostrada, toda a comunicaęao nao dirigida a umhost na rede 192.168.0.0/24 e enviada 
atrayes do gateway padrao (192.168.0.1). O gateway padrao e mais propriamente conhecido como um 
roteador. 

Para se certificar de que voce pode alcanęar seu roteador, tente emitir umping para ele. Por exemplo: 



# ping -c 2 192.168.0.1 

PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 

From 192.168.0.105 icmp_seq=l Destination Host Unreachable 
From 192.168.0.105 icmp_seq=2 Destination Host Unreachable 
- 192.168.0.1 ping statistics - 

2 packets transmitted, 0 received, +2 errors, 100% packet loss 

A mensagem “Destination Host Unreachable” (“Host de Destino Inacessivel”) informa que o roteador 
esta desligado ou nao fisicamente conectado a voce (talvez o roteador nao esteja conectado ao switch que 
voce compartilha). Se o ping for bem-sucedido e voce puder alcanęar o roteador, o próximo passo e 
tentar um endereęo fora de seu roteador. 

Tente emitir umping para um endereęo IP amplamente acessivel. Por exemplo, o endereęo IP para o 
servidor DNS publico do Google e 8 . 8 . 8 . 8 . Tente pingar esse endereęo (ping -c2 8.8.8.8). Se 
esse ping for bem-sucedido, sua rede provavelmente esta muito beme e mais provavel que sua 
conversao de nomes para endereęos nao esteja funcionando corretamente. 

Se puder alcanęar um sistema remoto, mas a conexao e muito lenta, voce pode usar o comando 
traceroute para seguir a rota ate o host remoto. Por exemplo, este comando mostra cada hop (salto 
entre nós de urna rede) na rota para http : / /www. google . com: 

# traceroute www.google.com 

O resultado mostrara o tempo necessario para cada hop ao longo do caminho para o site do Google. Em 
vez de traceroute, voce pode usar o comando mtr (yum install mtr) para ver a rota seguida 
ate umhost. Com mtr, a rota e consultada continuamente, o que permite ver o desempenho de cada etapa 
da viagem ao longo do tempo. 

Verifique a corwersao de hostname 

Se voce nao pode alcanęar hosts remotos pelo nome, mas pode alcanęa-los pingando endereęos IP, o 
sistema esta tendo umproblema comconyersao de nomes. Sistemas conectados a internet fazem 
conversao de nome para endereęo consultando um seryidor DNS ( domain name system ) que pode 
fornecer-lhes endereęos IP dos hosts solicitados. 

O seryidor DNS que seu sistema usa pode ser inserido manualmente ou recuperado automaticamente de 
um seryidor DHCP quando voce inicia suas placas de rede. De urna maneira ou de outra, os nomes e 
endereęos IPde umoumais seryidores DNS acabarao emseuarquivo /etc/resolv. conf. Eis um 
exemplo desse arquivo: 

search example.com 
nameserver 192.168.0.254 
nameserver 192.168.0.253 


Quando voce pede para conectar-se a um hostname no Fedora ou Red Hat Enterprise Linux, o arquivo 
/etc/hosts e procurado; em seguida, o seryidor DNS da primeira entrada nameserver em 
resolv. conf e consultado; e, entao, cada subsequente seryidor DNS e consultado. Se umhost que 



voce solicitar nao for encontrado, todos os locais sao verificados antes de voce obter algum tipo de 
mensagem “Host nao encontrado”. Eis algumas maneiras de depurar a conyersao de nome para endereęo: 


■ Verifique se o servidor DNS pode ser alcanęado. Conhecendo os endereęos de servidor DNS, 

voce pode tentar pingar o endereęo IP de cada servidor DNS para ver se ele esta acessiyel. Por 
exemplo: ping -c 2 192.168.0.254. Se o endereęo IP puder ser alcanęado, entao talvez 
voce tivesse atribmdo o endereęo errado ao servidor DNS ou ele esta atualmente fora do ar. 

■ Verifique se o servidor DNS esta funcionando. Voce tenta usar especificamente cada servidor 

DNS como comando host ou dig. Por exemplo, qualquer umdesses dois comandos pode ser 
usado para ver se o servidor DNS em 192.168.0.254 pode converter o hostname 
www. google . com emum endereęo IP. Repita esse procedimento para cada endereęo IP do 
servidor DNS ate voce descobrir quais funcionam: 

# host www.google.com 192.168.0.254 

# dig @192.168.0.254 www.google.com 

■ Corrija seus servidores DNS. Se voce determinar que tem o endereęo IP errado configurado para 

seus seryidores DNS, modifica-los pode ser umpouco complicado. Pesquise em 
/var/log/messages o endereęo IP dos seus seryidores DNS. Se o NetworkManager for 
usado para iniciar sua rede e se conectar a um seryidor DHCP, voce deve ver as linhas 
nameserver com os endereęos IP que estao sendo atribuidos. Se os endereęos estiyerem 
errados, voce pode substitui-los. 

Com NetworkManager habilitado, voce nao pode simplesmente adicionar entradas de seryidor 
DNS ao arquivo /etc/resolv. conf porque o NetworkManager sobrescreyera esse arquivo 
comsuas próprias entradas de seryidor DNS. Emvez disso, adicione urna linha PEERDNS=no 
ao arquivo ifcfg para a płaca de rede (por exemplo, ifcfg-ethO no diretório 
/etc/ sysconf ig/network-scripts). Entao, configure DNS1 = 192.168.0.254 (ou 
qualquer que seja o endereęo IP do seu seryidor DNS). O novo endereęo sera usado na próxima 
vez que voce reiniciar sua rede.| 

Se estiyer usando o seryięo de rede, em vez de NetworkManager, voce ainda pode usar 
PEERDNS=no para impedir que o seryidor DHCP sobrescreva seus endereęos de DNS. Mas, 
nesse caso, yoce pode editar o arquivo resolv. conf diretamente para configurar seus 
endereęos de seryidor DNS. 

O procedimento aqui descrito para yerificar sua conectividade de rede de saida aplica-se a qualquer tipo 
de sistema, seja ele um laptop, um desktop ou um seryidor. Emgeral, as conex5es recebidas nao sao um 
problema com laptops ou desktops, porque a maioria das solicitaęóes e simplesmente negada. Mas para 
os seryidores, a próxima seęao descreye maneiras de tornar seu seryidor acessiyel se os clientes 
estiyerem tendo problemas para alcanęar os seryięos que voce fornece a partir desse seryidor. 

Solucionando problemas de conexoes de entrada 

Se voce estiyer solucionando problemas de placas de rede em um seryidor, ha consideraęóes diferentes 
das de um sistema desktop. Como a maioria dos sistemas Linux e configurada como seryidor, yoce deve 



saber como solucionar os problemas encontrados por aąueles que estao tentando alcanęar seus 
servidores Linux. 

\bu comeęar com a ideia de ter um servidor web Apache (httpd) rodando em seu sistema Linux, mas 
com nenhum cliente web capaz de alcanęa-lo. As próximas seęóes descrevem as coisas que voce pode 
tentar para ver onde esta o problema. 

Verifique se realmente o cliente pode acessar seu sistema 

Para ser um servidor publico, o hostname deve ser convertido de modo que qualquer cliente na internet 
possa alcanęa-lo. Isso significa associar seu sistema a um determinado endereęo IP publico e registrar 
esse endereęo emum servidor DNS publico. \foce pode usar urna empresa de registro de domlnio (como 

http : / /www. networksolutions . com) para fazer isso. 

Quando os clientes nao podem alcanęar seu site pelo nome a partir dos navegadores deles, se o cliente 
for um sistema Linux, voce pode usar ping, host, traceroute e outros comandos descritos na 
seęao anterior para rastrear o problema de conectividade. Sistemas Windows tern sua própria versao de 
ping que voce pode usar a partir desses sistemas. 

Se a conversao de nome para endereęo estiver funcionando para alcanęar seu sistema e voce for capaz de 
emitir ping para um servidor a partir de fora da rede interna, a próxima coisa a tentar e a 
disponibilidade do servięo. 

Verifiquese o servięo esta disponfvel para o cliente 

A partir de um cliente Linux, voce pode verificar se o servięo que voce esta procurando (nesse caso 
httpd) esta disponivel a partir do servidor. Urna maneira de fazer isso e usando o comando nmap. 

O comando nmap e a ferramenta favorita dos administradores de sistema para verificar varios tipos de 
informaędes emredes. Mas ele tambeme a ferramenta favoritas dos crackers, porque permite varrer 
servidores, procurando potenciais vulnerabilidades. Portanto, e bom usar nmap a firn de varrer seus 
próprios sistemas para ver se ha problemas. Mas saiba que usar nmap emoutro sistema e como verificar 
as portas e janelas na casa de alguempara ver se voce pode entrar. \foce vai parecer umintruso. 

Verificar seu próprio sistema para ver quais portas em seu servidor estao abertas ao mundo exterior 
(essencialmente, verificar quais servięos estao em execuęao) e perfeitamente legitimo e facil de fazer. 
Depois que nmap esta instalado (yum install nmap), use o hostname ou o endereęo IP de seu 
sistema para fazer nmap varrer seu sistema a firn de ver o que esta rodando em portas comuns: 

# nmap 192.168.0.119 

Starting Nmap 5.21 ( http://mr.ap.org ) at 2012-06-16 08:27 EDT 
Nmap scan report for spilce (192.168.0.119) 

Host is up (0.0037s latency). 

Not shown: 995 filtered ports 
PORT STATE SERVICE 
21/tcp open ftp 
22/tcp open ssh 
80/tcp open http 
443/tcp open https 
631/tcp open ipp 

MAC Address: 00:IB:21:0A:E8:5E (Intel Corporate) 

Nmap done: 1 IP address (1 host up) scanned in 4.77 seconds 

A saida anterior mostra que as portas TCP estao abertas para os seryięos web regulares (http) e 



seguros (https). Quando voce vir que o estado esta open (aberto), isso indica que ha um servięo 
ouvindo na porta tambem. Se alcanęar esse ponto, isso significa que sua conexao de rede esta bem e que 
voce deve dirigir seus esforęos de soluęao de problemas para a forma como o servięo em si esta 
configurado (por exemplo, voce pode examinar o arquivo /etc/httpd/conf/httpd. conf para 
ver se ha hosts especificos comacesso permitido ou negado). 

Se as portas TCP 80 e/ou 443 nao forem mostradas, isso significa que estao sendo filtradas. \bce precisa 
verificar se seu firewall esta bloąueando (nao aceitando pacotes para) essas portas. Se a porta nao e 
filtrada, mas o estado e fechado, isso significa que o servięo httpd nao esta funcionando ou nao esta 
ouvindo nessas portas. O próximo passo e entrar no servidor e verificar essas quest5es. 

Verifique o firewall no servidor 

Apartir de seu servidor, voce pode usar o comando iptables para listar as regras da tabela de filtro 
que estao emvigor. Eis umexemplo: 

# iptables -vnL 

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) 

pkts bytes target prot cpt in out source destir.ation 

0 0 ACCEPT top — * * 0.0.0.0/0 0.0.0.0/0 State NEW tcp dpt:80 

0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 State NEW tcp dpt:443 

Deve haver regras de firewall, como as duas mostradas no código anterior, no meio das suas outras 

regras. Se nao houver, adicione as regras ao arquivo /etc/sysconf ig/iptables. Eis alguns 
exemplos de como essas regras podem ser: 

-A INPUT -m State --State NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A INPUT -m State --State NEW -m tcp -p tcp --dport 443 -j ACCEPT 

Comas regras adicionadas ao arquivo, limpe todas as regras de firewall (systemctl stop 
iptables . service ou service iptables stop) e, entao, inicie-as de novo (systemctl 
start iptables.service ou service iptables start). 

Se o firewall ainda estiver bloqueando o acesso do cliente as portas do servidor web, eis algumas coisas 
para verificar em seu firewall: 

■ Verifique a ordemdas regras. Olhe para as regras em /etc/sysconf ig/iptables e veja 

se ha regras DROP ou RE JECT que apareęam antes das regras de abertura das portas 80 e/ou 
443. Mover as regras para abrir as portas antes de quaisquer linhas DROP ou RE JECT finais 
pode resolver o problema. 

■ Olhe para os hosts negados. Verifique se ha regras que descartam ou rejeitam pacotes a partir de 

determinados hosts ouredes. Procure regras que incluam - s ou --source, seguidos por um 
endereęo IP ou intervalo de endereęos e, depois, - j DROP ou ACCEPT. Modifique ou adicione 
urna regra antes de suas regras para criar urna exceęao para o host ao qual voce quer permitir 
acesso ao seu servięo. 

Se a porta estiver aberta, mas o servięo em si estiver fechado, verifique se o servięo esta realmente 
rodando e ouvindo as placas de rede apropriadas. 



Verifique o servięo no servidor 

Se parecer nao haver nada bloąueando o acesso do cliente ao servidor atraves das portas reais que 
fornecem o servięo que voce quer compartilhar, e hora de verificar o próprio servięo. Assumindo que o 
servięo esta sendo executado (digite service httpd status para verificar), a próxima coisa a 
verificar e se ele esta ouvindo nas portas e placas de rede adequadas. 

O comando netstat e urna ferramenta de uso geral, ótimo para verificar os servięos de rede. O 
seguinte comando lista os nomes e IDs de processo (p) para todos os processos que estao ouvindo 
(listening, 1) servięos TCP (t) e UDP (u), juntamente como numero da porta (n) emque eles estao 
ouvindo. A linha de comando a seguir filtra todas as linhas, exceto aquelas associadas com o processo 

httpd: 

# netstat -tupln | grep httpd 


tcp 

0 

0 : : : 80 

• • • 

LISTEN 

2567/httpd 

tcp 

0 

0 : : : 443 

: : ; * 

LISTEN 

2567/httpd 


O exemplo anterior mostra que o processo httpd esta ouvindo na porta 80 e 443 de todas as interfaces 
de rede. E possivel que o processo httpd esteja ouvindo eminterfaces de rede selecionadas. Por 
exemplo, se o processo httpd estiver ouvindo apenas na interface local (127.0.0.1) para solicitaęóes 
HTTP (porta 80), a entrada ficaria da seguinte forma: 

tcp 0 0 127.0.0.1:80 :::* LISTEN 2567/http 

Para httpd, bemcomo para outros servięos de rede que ouvirem solicitaęóes de placas de rede, e 
possivel editar o arquivo de configuraęao do servięo principal (nesse caso, 
/etc/httpd/conf/httpd.conf) para dizer-lhe para ouvir na porta 80 todos os endereęos 
(Listen 8 0) ouumendereęo especifico (Listen 192.168.0.100 : 80). 


Solucionando problemas de memória 

Solucionar problemas de desempenho em seu computador e urna das mais importantes tarefas, embora 
muitas vezes ardilosas, que voce precisa completar. Talvez voce tenha um sistema que estava 
funcionando bem, mas comeęa a desacelerar ate umponto emque e praticamente inutilizavel. Talvez os 
aplicativos simplesmente comeęama falhar semmotivo aparente. Encontrar e corrigir o problema pode 
demandar umtrabalho de detetive. 

O Linux vem com muitas ferramentas para observar atividades em seu sistema e descobrir o que esta 
acontecendo. Usando urna variedade de utilitarios Linux, voce pode fazer coisas como descobrir quais 
processos estao consumindo grandes quantidades de memória ou impondo altas demandas sobre seus 
processadores, discos oulargura de banda de rede. As soluęóes podemincluir: 




■ Adięao de capacidade — Seu computador pode estar tentando fazer o que voce pediu a ele, mas 

falhas podem ocorrer porque voce nao tem memória suficiente, poder de processamento, espaęo 
em disco ou capacidade de rede para obter um desempenho razoayel. Mesmo o simples fato de se 
aproximar dos limites do esgotamento de um recurso pode causar problemas de desempenho. 
Melhorar a capacidade de hardware do computador e muitas vezes a maneira mais facil de 
resolver problemas de desempenho. 

■ Ajustando o sistema — O Linux vem com configuraęóes padrao que definem como ele salva 

internamente os dados, como ele move os dados pelo sistema e como ele protege os dados. 
Parametros ajustayeis do sistema podem ser alterados se as configuraęóes padrao nao 
funcionarembempara os tipos de aplicativos que voce ternem seu sistema. 

■ Descobrindo aplicativos ou usuarios próbiematicos — As vezes, um sistema executa mai porque 

um usuario ou um aplicativo esta fazendo algo errado. Aplicaęóes mai configuradas ou quebradas 
podem travar ou devorar todos os recursos que podem obter. Um usuario inexperiente pode 
equivocadamente iniciar yarias instancias de um programa que drenam os recursos do sistema. 
Como um administrador de sistema, voce quer saber como encontrar e corrigir esses problemas. 

Para solucionar problemas de desempenho no Linux, voce pode usar algumas das ferramentas basicas 
para observar e manipular processos em execuęao em seu sistema. Consulte o Capitulo 6, “Gerenciando 
processos emexecuęao”, se voce precisa de mais detalhes sobre comandos como ps, top, kill e 
killall. Nesta seęao, vamos examinar comandos como memstat, para nos aprofundarmos umpouco 
mais no que os processos estao fazendo e onde as coisas estao indo mai. 

Aarea mais complexa de soluęao de problemas no Linux e o gerenciamento de memória yirtual. As 
próximas seęóes descreyem como yisualizar e gerenciar a memória yirtual. 


Descobrindo problemas de memória 

Computadores armazenam dados de forma permanente (discos rigidos) e temporaria (Random Access 
Memory, ou RAM, e espaęo de troca ). Pense emvoce como urna CPU, emuma mesa. tentando fazer seu 
trabalho. \foce poderia colocar os dados que quer manter permanentemente em um armario do outro lado 
da sala (que e como o armazenamento em disco rigido) e colocaria as informaęóes em que voce esta 
trabalhando atualmente em sua mesa (que e como a memória RAM em um computador). 

O espaęo de troca e urna forma de estender a RAM. E realmente apenas um lugar para colocar os dados 
temporarios que nao cabemna memória RAM, mas que a CPU precisara em algum momento mais tarde. 
Embora o espaęo de troca esteja no disco rigido, nao e um sistema de arquivos Linux regular no qual os 
dados sao armazenados de forma permanente. Pense no espaęo de troca como urna gaveta do armario em 
que a informaęao e mantida em urna caixa misturada, onde ela pode ser classificada dentro de armarios 
permanentes ou trazida de volta para ser usada sobre a mesa. 

Comparad com armazenamento em disco, a memória de acesso aleatório tem os seguintes atributos: 

■ Mais perto do processador — Assim como a mesa esta perto de voce enquanto voce trabalha, a 
memória esta fisicamente perto da CPU na placa-mae do computador. Assim, quaisquer dados que 
a CPU necessite podem ser imediatamente obtidos se estiyerem na memória RAM. 



■ Mais rapido — Sua proximidade da CPU e a maneira como a RAM e acessada (estado sólido 

contra óptico) tornam muito mais rapido para a CPU obter informaęóes da memória RAM do que 
de um disco rigido. E mais rapido olhar para um pedaęo de papel em sua mesa (um espaęo 
peąueno e intimo) do que ir ate a urna fila de armarios de arquivo e comeęar a procurar o que 
quer. 

■ Menos capacidade — Umnovo computador pode ter um disco rigido de 360GB, mas 2GB ou 

4GB de memória RAM. Embora colocar na RAM cada arquivo e cada fragmento de dados que o 
processador precisasse pudesse fazer o computador funcionar mais rapido, na maioria dos casos 
simplesmente nao haveria espaęo. Alem disso, tanto os slots de memória fisica do computador 
como o sistema de computador em si (computadores de 64 bits podem endereęar mais memória 
RAM do que computadores de 32 bits) podem limitar a quantidade de memória disponivel que um 
computador e capaz de ter. 

■ Mais cara — Embora a RAM seja tremendamente mais acessivel do que urna ou duas decadas 

atras, ainda e muito mais cara (por GB) do que os discos rigidos. 

■ Temporaria — A RAM armazena dados e metadados que a CPU esta usando agora para o trabalho 

que esta fazendo (alem de algum conteudo que o kernel do Linux mantem por perto porque 
suspeita que umprocesso precise dele antes do tempo). Quando voce desliga o computador, 
porem, tudo na RAM e apagado. Quando a CPU termina de usar os dados, eles sao descartados se 
nao forem mais necessarios, deixados na RAM para uso posterior possivel ou marcados para 
serem gravados em disco para armazenamento permanente se precisarem ser salvos. 

E importante entender a diferenęa entre armazenamento temporario (RAM) e permanente (disco rigido), 
mas isso nao conta toda a historia. Se a demanda por memória exceder a oferta de RAM, o kernel pode 
temporariamente mover dados de memória RAM para urna area chamada espaęo de troca ou swap. 

Se voltarmos a analogia da mesa de trabalho, isso seria como dizer: “Nao ha espaęo na minha mesa, mas 
tenho de colocar mais documentos emcima dela para continuar a trabalhar nos projetos. Emvez de 
armazenar papeis que vou precisar embreve emumarmario de arquivo permanente, vou ter umarmario 
de arquivo especial (como urna gaveta) para manter os papeis com que ainda estou trabalhando, mas que 
nao estou pronto para armazenar de forma permanente ou jogar fora.” 

Consulte o Capitulo 12, “Gerenciando discos e sistemas de arquivos”, para mais informaęóes sobre 
arquivos e partięóes de troca e como cria-los. Por enquanto, porem, ha algumas coisas que voce deve 
saber sobre esses tipos de area de troca e quando eles sao usados: 

■ Quando os dados sao movidos da RAM para urna area de troca, voce tern um impacto no 

desempenho. Lembre-se, gravar em disco e muito mais lento do que gravar em RAM. 

■ Quando os dados sao movidos da area de troca de volta para a RAM porque sao necessarios 

novamente, voce tern outra queda no desempenho. 

■ Quando o Linux fica sem espaęo na memória RAM, a troca e como ser ferido em urna batalha. Nao 

e algo que voce deseja, mas e melhor do que ser morto. Emoutras palavras, todos os seus 
processos permanecem ativos e nao perdem quaisquer dados, mas o desempenho do sistema pode 
cair bastante. 



■ Se tanto a RAM como o espaęo de troca ficarem cheios e os dados nao puderem ser descartados 
ou gravados em disco, o sistema pode alcanęar urna condięao de falta de memória (out-of- 
memory, OOM). Quando isso acontece, o eliminador de OOM do kernel entra emaęao e comeęa 
a eliminar processos, um a um, para recuperar o maximo de memória possivel para o kernel 
voltar a funcionar corretamente. 

A regra de ouro sempre foi a de que a troca e ruim e deve ser evitada. Mas ha alguns que argumentam 
que, em certos casos, urna troca mais agressiva pode realmente melhorar o desempenho. 

Pense no caso em que voce abre um documento em um editor de texto e entao o minimiza em seu desktop 
por varios dias enquanto trabalha emdiferentes tarefas. Se os dados desse documento forem movidos 
para o disco, mais memória RAM estaria disponivel para aplicativos mais ativos que poderiam empregar 
melhor esse espaęo. A queda no desempenho viria na próxima vez em que voce precisasse acessar os 
dados do documento editado e eles fossem movidos do disco para a RAM. As configuraęóes que se 
relacionam com a agressividade com que um sistema fara a troca de dados sao referidas como 
swappiness. 

Tanto quanto possivel, o Linux quer disponibilizar tudo o que um aplicativo aberto necessita 
imediatamente. Assim, usando a analogia da mesa de trabalho, se eu estou trabalhando emnove projetos 
ativos e nao ha espaęo na mesa para armazenar as informaęóes que eu preciso para todos os nove 
projetos, por que nao deixa-las todas dentro do alcance sobre a mesa? Seguindo essa mesma linha de 
raciocinio, o kernel as vezes mantem bibliotecas e outros conteudos na RAM que ele pensa que voce 
pode, eventualmente, precisar, mesmo que umprocesso nao esteja procurando por ele imediatamente. 

O fato de o kernel estar inclinado a armazenar informaęóes na RAM que ele espera que possam ser 
necessarias embreve (ainda que nao o sejam agora) pode fazer comque um administrador do sistema 
inexperiente pense que o sistema esta quase sem RAM e que os processos estao prestes a comeęar a 
falhar. E por isso que e importante conhecer os diferentes tipos de informaęao que sao mantidos na 
memória — para que voce possa determinar quando situaęóes reais de falta de memória podem ocorrer. 

O problema nao e apenas esgotar a RAM, e esgotar a RAM quando restamapenas dados nao trocayeis. 

Mantenha essa visao geral de memória virtual (RAM e espaęo de troca) emmente, a medida que a 
próxima seęao descreve maneiras de solucionar problemas relacionados com a memória yirtual. 

Verificando problemas de memória 

Digamos que voce esta conectado a um desktop Linux, com muitos aplicativos em execuęao e tudo 
comeęa a ficar mais lento. Para descobrir se os problemas de desempenho ocorreram porque voce 
esgotou a memória, voce pode tentar comandos como top eps para comeęar a avaliar o consumo de 
memória no sistema. 

Para executar o comando top a firn de obseryar o consumo de memória, digite top e digite umM 
maiusculo. Eis umexemplo: 



0.0%st 


# top 

top - 22:48:24 up 3:59, 2 users, lcad average: 1.51, 1.37, 1.15 

Tasks: 281 to tal, 2 rur.ning, 279 sleeping, 0 stcpped, 0 zombie 
Cpu(s): lć.ćłus, 3.0%sy, O.Ołni, 80.3%id, O.ZHwa, 0.0%hi, 0.2%si, 

Mem: 371619€k total, 2684924)c used, 1031272k free, 14€172k bufiers 
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Ha duas linhas (Mem e Swap) e quatro colunas de informaęao (VIRT, RES, SHR e %MEM) relativas a 
memória na saida de top. Nesse exemplo, voce pode ver que a RAM nao se esgota na linha de Mem 
(apenas 268492k de 3716196k sao usados) e que nada esta sendo movido para disco na linha de Swap 
(Okusado). 

Mas, somando apenas as primeiras seis linhas da saida na coluna VIRT, voce veria que 4937MB de 
memória foram alocados para esses aplicativos, o que excede os 3629MB de RAM total (3716196k) que 
estao disponiveis. Isso porque a coluna VIRT mostra apenas a quantidade de memória que foi prometida 
ao aplicatiyo. A linha RES mostra a quantidade de memória nao trocayel que esta realmente sendo usada, 
o que totaliza apenas 1364MB. 

Obserye que, quando voce pede para ordenar por uso de memória digitando umM maiusculo, top sabe 
ordenar na coluna RES. A coluna SHR mostra a memória que poderia ser compartilhada por outros 
aplicatiyos (como bibliotecas) e %MEM mosba a porcentagem do total de memória consumida por cada 
aplicativo. 

Se voce acha que o sistema esta para atingir um estado de falta de memória, eis algumas coisas para 
procurar: 

■ O espaęo livre mostrado na linha Mem estaria em ou perto de zero. 

■ O espaęo usado mostrado na linha de Swap seria diferente de zero e continuaria a crescer. Isso 

deve ser acompanhado por urna queda no desempenho do sistema. 

■ Como a tela de top e atualizada a cada poucos segundos, se nao houver umprocesso comum 

yazamento de memória (continuamente pedindo e usando mais memória, mas nao devolvendo 
nada dela), a quantidade de memória VIRT cresce, mas, sobretudo, a memória RES continuara a 
crescer para esse processo. 

■ Se o espaęo de Swap realmente acabar, o kernel vai comeęar a eliminar processos para lidar com 

essa condięao de falta de memória. 

Lidando com problemas de memória 

A curto prazo, ha varias coisas que voce pode fazer para lidar com essa condięao de falta de memória: 

■ Elimine um processo. Se o problema de memória for devido a um processo errante, voce pode 

simplesmente elimina-lo. Assumindo que voce esta conectado como root ou como o usuario que 
possui o processo errante, digite k na janela superior e, entao, digite o PID do processo que voce 
quer eliminar e escolha 15 ou 9 como o sinal a enviar. 



■ Descarte caches de pagina. Se quiser apenas liberar alguma memória imediatamente, deixando 

para resolver o problema mais tarde, voce poderia instruir o sistema a descartar caches de 
paginas inativas. Quando voce faz isso, algumas paginas de memória sao gravadas em disco e 
outras sao simplesmente descartadas (porque estao armazenados permanentemente e podem ser 
obtidas a partir do disco de novo quando forem necessarias). 

Essa aęao e o equivalente a limpar sua mesa e colocar todas as informaęóes, exceto as mais 
criticas, no lixo ou emumarmario de arquivo. \foce pode precisar recuperar informaęóes de um 
armario de arquivo novamente embreve, mas quase certamente nao vai precisar de tudo isso 
imediatamente. Mantenha top executado em urna janela Terminal para ver a linha Mem mudar 
quando voce di gitar o seguinte (como root) em outra janela Terminal: 

# echo 3 > /proc/sys/vm/drop_caches 

■ Elimine um processo sem memória. Ha momentos em que o esgotamento de memória torna o 

sistema tao inutilizavel que voce pode nao ser capaz de obter urna resposta de um shell ou GUI. 
Nesses casos, voce pode ser capaz de usar as teclas Alt+SysRq para eliminar um processo sem 
memória. A razao por que voce pode usar teclas Alt+SysRq em um sistema que nao responde de 
outra forma e que o kernel processara as solicitaęóes das teclas Alt+SysRq antes de outras 
solicitaęóes. 

Para ativar as teclas Alt+SysRq, o sistema ja deve ter configurado 
/proc/sys/kernel/sysrą como 1. Urna maneira facil de fazer isso e adicionar 
kernel. sysrą = 1 no arquivo /etc/sysctl. conf. Alemdisso, voce deve pressionar 
as teclas Alt+SysRq a partir de urna interface baseada em texto (como o console virtual que voce 
ve quando pressiona Ctrl+Alt+F2). 

Com kernel .sysrą configurado como 1, voce pode eliminar o processo em seu sistema com 
a maior pontuaęao OOM pressionando Alt+SysRq+f a partir de urna interface baseada em 
texto. Urna listagem de todos os processos em execuęao no sistema aparece na tela, com o nome 
do processo que foi eliminado listado no finał. \bce pode repetir as teclas ate eliminar processos 
suficientes para ser capaz de acessar o sistema normalmente a partir do shell de novo. 


ta 

mitas outras teclas Alt+SysRq que voce pode usar para lidar com um sistema que nao responde. Por exemplo, 
5ysRq+e termina todos os processos, exceto init . Alt+SysRq+t exibe urna lista de todas as funęóes e 
maęóes sobre essas tarefas no console. Para reiniciar o sistema, pressione Alt+SysRq+b. Veja o arquivo 
rq.txt no diretório /usr/share/doc/kernel-doc*/Documentation para obter mais 
maęóes sobre as teclas Alt+SysRq. 


Solucionando problemas no modo de recuperaęao 

Se seu sistema Linux torna-se nao inicializavel, sua melhor opęao para corrigir o problema e 
provavelmente entrar no modo de recuperaęao. Para entrar no modo de recuperaęao, voce ignora o 







sistema Linux instalado em seu disco rigido e inicia urna midia de recuperaęao (como um pen drive USB 
inicializavel ou CD de inicializaęao). Depois que a midia de recuperaęao inicializa, ela tenta montar 
algum sistema de arquivos que pode encontrar a partir de seu sistema Linux para que voce possa reparar 
os problemas. 

Para muitas distribuięóes Linux, o CD ou DVD de instalaęao pode servir como midia de inicializaęao 
para entrar no modo de recuperaęao. Eis um exemplo de como usar um DVD de instalaęao do Fedora 
para entrar no modo de recuperaęao a firn de corrigir um sistema Linux corrompido: 

Obtenha a imagem do CD ou DVD de instalaęao que voce quer usar e grave-a na midia 
apropriada (CD ou DVD). Veja o Apendice A, “Midia”, para obter informaęóes sobre gravaęao 
de CDs e DVDs. (Para meu exemplo, usei um DVD de instalaęao do Fedora 16.) 

2 - Insira o CD ou DVD na unidade no computador que tern o sistema corrompido Finux instalado e 
reinicie. 

3 - Quando vir a tela da BIOS, pressione a tecla de funęao indicada nessa tela para selecionar o 
dispositivo de inicializaęao (possivelmente a tecla de funęao F12 ou F2). 

4 - Escolha a unidade (CD ou DVD) a partir da lista de dispositivos de inicializaęao e pressione 
Enter. 

5 - Quando o menu de inicializaęao do Fedora aparecer, use as teclas de seta para destacar a palavra 
Troubleshooting (Solucionando problemas ) e pressione Enter. Emoutras midias de inicializaęao 
do Linux, a seleęao poderia dizer Rescue Modę (Modo de recuperaęao ) ou algo parecido. Na 
próxima tela que aparece, selecione Rescue a Fedora System e pressione Enter. 

6 - Depois de alguns instantes, o sistema Linux na midia de recuperaęao inicializa. Quando 
solicitado, selecione seu idioma e teclado. \bce sera perguntado se quer iniciar as placas de rede 
no sistema. 

7 - Se achar que precisa obter algo de outro sistema em sua rede (como pacotes RPM ou ferramentas 
de depuraęao), selecione Yes e tente configurar suas placas de rede. Depois, voce e perguntado se 
quer tentar montar os sistemas de arquivos de seu sistema Linux instalado sob 

/mnt/sysimage. 

8 - Selecione Continue para ter seu sistema de arquivos montado (se possivel), sob o diretório 
/mnt/sysimage. Se isso for bem-sucedido, urna mensagemde recuperaęao aparece dizendo 
que seu sistema de arquivos foi montado sob /mnt/sysimage. 

9 - Selecione OK para continuar. \foce devera ver urna janela de comandos para o usuario root (#). 
\bce esta pronto para comeęar o processo de soluęao de problemas no modo de recuperaęao. 

Urna vez que voce esta no modo de recuperaęao, a parte de seu sistema de arquivos que nao esta 
corrompida sera montada sob o diretório /mnt/sysimage. Mude para esse diretório (cd 
/mnt/sysimage) e digite ls para yerificar se os arquivos e diretórios do disco rigido estao la. 

Agora, a raiz do sistema de arquivos (/) inicia a partir do sistema de arquivos que vemna midia de 
recuperaęao. Para solucionar problemas do seu sistema Linux instalado, porem, voce pode digitar o 
seguinte comando: 



# chroot /mnt/sysimage 


Agora, o diretório /mnt/sysimage torna-se a raiz de seu sistema de arquivos (/) e se parece como 
sistema de arquivos instalado em seu disco rigido. Eis algumas coisas que voce pode fazer para reparar 
seu sistema enquanto esta no modo de recuperaęao: 

■ Corrija /etc/fstab. Se seu sistema de arquivos nao puder ser montado devido a um erro em seu 

arquivo /etc/fstab, voce pode tentar corrigir todas as entradas que possamter problemas 
(como nomes de dispositivos errados ou um diretório de ponto de montagemque nao existe). 
Digite mount -a para se certificar de que todos os sistemas de arquivo podem ser montados. 

■ Reinstale os componentes que faltam. Pode ser que os sistemas de arquivos estejambons, mas o 

sistema nao conseguiu inicializar porque algum comando ou arquivo de configuraęao essencial 
esta faltando. \bce pode ser capaz de resolver o problema reinstalando o pacote com os 
componentes que faltam Por exemplo, se alguem tivesse apagado /bin/mount por engano, o 
sistema nao teria nenhum comando para montar sistemas de arquivos. A reinstalaęao do pacote 
util-linux iria repor o comando mount ausente. 

■ Verifique os sistemas de arquivos. Se seus problemas derivamde sistemas de arquivos de 

inicializaęao corrompidos, voce pode tentar executar o comando f sck (filesystemcheck) para 
ver se ha qualquer tipo de corrupęao na partięao do disco. Se houver, f sck tentara corrigir os 
problemas encontrados. 

Quando voce terminar de corrigir seu sistema, digite exit para sair do ambiente chroot e retornar ao 
layout do sistema de arquivos que a midia de recuperaęao ve. Quando terminar tudo, digite reboot para 
reiniciar o sistema. Certifique-se de sair da midia antes de o sistema reiniciar. 


Resumo 


A soluęao de problemas no Linux pode comeęar a partir do momento em que voce liga o computador. 
Problemas podem ocorrer com a BIOS do computador, o carregador de inicializaęao ou em outras partes 
do processo de inicializaęao, e voce pode corrigi-los interceptando-os em diferentes estagios do 
processo de inicializaęao. 

Depois que o sistema foi iniciado, voce pode solucionar problemas com pacotes de software, placas de 
rede ou falta de memória. O Linux vem com muitas ferramentas para encontrar e corrigir qualquer parte 
do sistema Linux que possa ser danificada e precise ser corrigida. 

O próximo capitulo aborda o tema da seguranęa Linux. Usando as ferramentas descritas neste capitulo, 
voce pode fornecer acesso aqueles servięos que voce e seus usuarios necessitam, enquanto bloqueia o 
acesso a recursos do sistema que voce quer proteger. 


Bcercicios 




Os exerricios nesta seęao permitem experimentar tecnicas uteis de soluęao de problemas no Linux. Como 
algumas das tecnicas descritas aqui podem danificar seu sistema, recomendo que voce nao use um 
sistema de produęao que nao puder correr o risco de ser danificado. Consulte o Apendice B para obter as 
soluęóes sugeridas. 

Esses exerdcios se relacionam com tópicos de soluęao de problemas em Linux. Para fazer esses 
exercicios, voce precisa ser capaz de reiniciar seu computador e interromper qualquer trabalho que 
possa estar sendo feito. 

L Inicialize o computador e, assim que voce vir a tela da BIOS, entre no modo Setup conforme as 
instruęóes na tela da BIOS. 

2 - Na tela BIOS Setup, determine se seu computador e de 32 bits ou 64 bits, se inclui suporte a 
yirtualizaęao e se sua płaca de rede e capaz de inicializaęao PXE (Preboot eXecution 
Environment). 

3 - Reinicie o computador e, logo após a tela da BIOS desaparecer, quando voce vir a contagem 
regressiva para a inicializaęao do sistema Linux, pressione qualquer tecla a firn de ir para o 
carregador de inicializaęao GRUB. 

4 - A partir do carregador de inicializaęao GRUB, adicione urna opęao para inicializar com um nivel 
de execuęao 1, de modo que voce possa fazer manutenęao do sistema. 

5 - Reinicie o computador com o Red Hat Enterprise Linux instalado e, a partir do carregador de 
inicializaęao GRUB, adicione urna opęao que faz com que os seryięos do sistema solicitem para 
voce confirmar a inicializaęao de cada seryięo. 

6 - Depois que o sistema inicializar, procure mensagens que foram produzidas no buffer do kernel 
mostrando a atividade do kernel durante a inicializaęao. 

7 - No Fedora ou no RHEL, execute um yum update e exclua qualquer pacote de kernel que esteja 
disponivel. 

8 - Verifique os processos que estao ouyindo conex5es de entrada em seu sistema. 

9 - Verifique quais portas estao abertas em sua płaca de rede externa. 

10 -Execute o comando top emuma janela Terminal. Abra urna segunda janela Terminal, limpe o 
cache de pagina e obserye na tela de top se mais memória RES esta agora disponiyel. 
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CAPITUJ^ 


Entendendo a seguranęa basica do Linux 


NESTE CAPITULO 

Entendendo o Ciclo de Vida do Processo de Seguranęa 

Planejando a seguranęa 

Implementando a seguranęa 

Monitorando a seguranęa 

Auditando e revisando a seguranęa 

E ntender a seguranęa e uma parte crucial da administraęao do sistema Linux. Um nome de usuario e 
urna senha simples nao sao mais suficientes para proteger seu servidor. O numero e a variedade de 
ataąues a computadores aumentam todos os dias e a necessidade de melhorar a seguranęa do 
computador continua a crescer com eles. 

Alguns dos problemas de seguranęa que voce pode enfrentar como um administrador incluem ataąues de 
negaęao de servięo (DoS), rootkits, worms, virus, bombas lógicas, ataąues man-in-the-middle, cavalos 
de Troia etc. Os ataąues nao yemapenas de fora da organizaęao. Eles tambem podem vir de dentro dela. 
Proteger os ativos informacionais valiosos da sua organizaęao pode ser uma ardua tarefa. 

Seu primeiro passo e conhecer os procedimentos e principios basicos de seguranęa. Com essas 
informaęóes, voce pode comeęar o processo de bloąuear e proteger seus servidores Linux. Alem disso, 
voce pode aprender a se manter informado sobre as novas ameaęas diarias e as novas formas de 
continuar a proteger os ativos informacionais yaliosos da sua organizaęao. 

Introduęao ao Ciclo de Vida do Processo de Seguranęa 

Como o desenyolvimento de softwares, a proteęao de um sistema de computador tern um ciclo de vida de 
processo. Esse Ciclo de Vida do Processo de Seguranęa tern ąuatro fases principais, como mostrado na 
Figura 22.1. Cada fasę tern atividades importantes que ajudama criar um sistema fortalecido contra 
ataąues de seguranęa. 




fRA 22.1 


latro fases principais do Ciclo de Vida do Processo de Seguranęa. 


Observe que nao ha nenhum ponto de partida identificavel no Ciclo de Vida do Processo de Seguranęa. 
Sob circunstancias ideais, voce comeęaria o processo na fasę de planejamento, entao passaria para a 
implementaęao, monitoramento, auditoria/revisao e entao retornaria a fasę de pianej amento. Mas na 
maioria dos sistemas, o ponto de partida estaria em algum lugar no meio. Embora o ciclo de vida real 
possa avanęar de forma ordenada, ainda e importante entender o ciclo de vida e suas fases. A seguranęa 
de seu sistema ira melhorar se voce aprender o ciclo de vida e entender quais atividades precisam 
ocorrer em cada fasę. 

O Ciclo de Yida do Processo de Seguranęa temvarios termos e acronimos próprios. Alguns desses 
termos e acronimos entram em conflito com a terminologia consagrada da informatica. Por exemplo, ao 
trabalhar com redes de computadores, um endereęo MAC e um endereęo Media Access Control 
(Controle de Acesso de Midia). Na seguranęa de computadores, umMAC e urna forma de controle de 
acesso chamado Mandatory Access Control (Controle de Acesso Mandatório). Ybce pode notar a 
confusao que logo pode ocorrer. 

Eis algumas definięóes basicas de seguranęa para ajuda-lo no mundo da seguranęa e neste capitulo: 

■ Sujeito — Um usuario ou um processo realizando um trabalho em nome de um usuario. 

■ Objęto — Um recurso particular em um servidor de computador, como um banco de dados ou um 

dispositivo de hardware. 

■ Autenticaęao — Determinar se um sujeito e quem ele diz que e. Isso as vezes e chamado de 

“identificaęao e autenticaęao”. 

■ Controle de acesso — Controle da capacidade de um sujeito de usar um determinado objęto. 

■ Lista de controle de acesso (ACL) — Urna lista de sujeitos que podemacessar um determinado 

objęto. 

Em um sistema de computador, sujeitos acessamobjetos. Mas antes de poderemfazer isso, eles devem 
ser autenticados. Os sujeitos entao só recebemniveis de acesso a objetos por meio dos controles de 
acesso pre-estabelecidos. Tanto os procedimentos de autenticaęao como controle de acesso para sujeitos 
e objetos devem ser determinados durante a fasę de pianej amento do Ciclo de Yida do Processo de 
Seguranęa. 

Łcaminando a fasę de planejamento _ 

Embora cada fasę do Ciclo de Yida do Processo de Seguranęa tenha atividades importantes, a fasę de 
planejamento pode ser a mais critica. Na fasę de planejamento, urna organizaęao determina itens como: 





■ Quais sujeitos precisamter acesso a quais objetos 

■ Quais objetos precisamde proteęao contra quais sujeitos 

■ A seguranęa de cada objęto ou nivel de classificaęao de confidencialidade 

■ Nivel autorizaęao de seguranęa ou confidencialidade de cada individuo 

■ Politicas e procedimentos para a concessao de acesso a objetos para os sujeitos 

■ Politicas e procedimentos para revogar o acesso a objetos para os sujeitos 

■ Quemdeve aprovar e permitir o acesso a objetos 


Escolhendo um modelo de controle de acesso 

As respostas as perguntas listadas acima formam a base dos controles de acesso de seguranęa. Os 
controles de acesso podemser usados emvarios modelos para implementar e manter umambiente de 
computador seguro. Seria sensato determinar qual modelo de controle de acesso usar na sua organizaęao 
no inicio da fasę de pianej amento. 

Ha tres modelos de controle primario de acesso: 

1 - Controle de Acesso Discricionario (Discretionary Access Control, DAC) 

2 - Controle de Acesso Mandatório (Mandatory Access Control, MAC) 

3 - Controle de Acesso Baseado emPapeis ( Role Based Access Control, RBAC) 

Todos os tres modelos sao usados atualmente nos sistemas Linux. Aquele que voce escolhe usar depende 
das necessidades de seguranęa da organizaęao. As seęóes a seguir discutem cada modelo em detalhes e o 
ajudarao a escolher o modelo certo para sua organizaęao. 

Controle de acesso discricionario 

O Controle de Acesso Discricionario (DAC) e o controle de acesso tradicional de seguranęa do Linux. O 
acesso a um objęto baseia-se na identidade de um sujeito e dos membros de um grupo. No Capitulo 4, 
discutimos as permissóes de arquivos, como leitura, gravaęao e execuęao. Alem disso, veremos posse de 
arquivo e grupos. Isso e o DAC basico para um sistema Linux. Acesso a umdeterminado objęto ou 
arquivo baseia-se nas permissóes definidas para o proprietario desse objęto, para os grupos e para os 
outros. 

No exemplo a seguir, o arquivo, DAC f ile ternpermissóes de leitura e gravaęao dadas ao proprietario 
do arquivo, christine. Apermissao de leitura e dada ao grupo, writer, assimcomo aos demais 
usuarios do sistema. 

$ ls -1 DAC_File 

-rw-r—r— 1 christine writer 41094 2012-02-02 13:24 DAC File 


A principal fraqueza do DAC e que o proprietario de um objęto terno controle das configuraęóes de 
seguranęa desse objęto. Em vez de usar urna politica estabelecida pela organizaęao, o proprietario do 



objęto pode fazer alteraęóes arbitrarias nos controles de seguranęa. Usando o arquivo e seu proprietario 
do exemplo anterior, o sujeito christine pode modificar as permissóes do objęto DAC_File: 

$ chmod 777 DAC_File 
$ ls -1 DAC_File 

-rwxrwxrwx 1 christine christine 41094 2012-02-02 13:24 DAC_File 

Outra grandę fraąueza do DAC esta na diferenciaęao entre os sujeitos. O DAC só pode realizar 
transaęóes comos proprietarios do objęto e outros usuarios. Ele nao pode definir direitos de acesso para 
os aplicativos do sistema. Em outras palavras, o DAC nao sabe quem e um humano e quem e um 
programa. Assim, quando um sujeito executa um programa, esse programa herda os direitos de acesso ao 
objęto do humano. 

Controle de acesso mandatório 

O Controle de Acesso Mandatório (MAC) supera a fragilidade do DAC e e um modelo popular de 
controle de acesso. Como MAC, voce tern um modelo muito mais refinado: 

■ Os objetos sao classificados de acordo coma necessidade de integridade e privacidade de dados. 

■ Os sujeitos sao classificados pelo nivel de autorizaęao sobre os dados ou o mvel de autorizaęao 

de seguranęa. 

■ O acesso de um sujeito a um objęto baseia-se no mvel de autorizaęao do sujeito. 

O proprietario de um objęto nao pode mais alterar as configuraęóes de seguranęa desse objęto, como no 
modelo DAC. Todas as configuraęóes e modificaęóes de seguranęa sao tratadas por urna pessoa ou 
equipe designada do processo de pianej amento de seguranęa. Alemdisso, o MAC nao permite que um 
programa herde o direito de acesso de umusuario a um objęto quando o programa e executado por esse 
usuario. Isso supera o segundo ponto fraco no modelo DAC. 

No geral, os objetos recebemproteęao contra ameaęas maliciosas confinando os sujeitos aos respectivos 
niveis de autorizaęao. Ha um refinamento adicional no MAC que fornece niveis ainda mais altos de 
seguranęa, o modelo Controle de Acesso Baseado em Papeis (RBAC). 

Controle de Acesso Baseado em Papeis 

Controle de Acesso Baseado em Papeis (RBAC) foi desenvolvido no National Institute of Standards and 
Technology (NIST). Ele e umpequeno, mas importante, refinamento do modelo MAC. O acesso a um 
objęto baseia-se na identidade do sujeito e seupapel associado. Cada papel, nao cada sujeito, e 
classificado de acordo com seu nivel de autorizaęao sobre os dados ou o nivel de autorizaęao de 
seguranęa. Assim, o acesso a objetos baseia-se emummvel de autorizaęao do papel e nao emummvel 
especifico de autorizaęao do sujeito. 

O modelo RBAC temvarias vantagens: 

■ Os pontos fortes do modelo MAC sao mantidos. 

■ Os direitos de acesso do papel sao mais faceis de classificar em niveis de autorizaęao sobre dados 

ou niveis de autorizaęao de seguranęa do que os direitos de acesso de um sujeito especifico. 



■ Os direitos de acesso do papel raramente mudam. 


■ Mover os sujeitos individuais entre os varios papeis elimina a necessidade de reclassificaęao dos 
direitos de acesso de cada sujeito. 

Portanto, como RBAC, voce temummodelo de acesso mais simples e mais facil de gerenciar que e tao 
forte quanto o modelo MAC. Esse casamento entre simplicidade e foręa tornou o Controle de Acesso 
Baseado em Papeis popular entre os produtos de seguranęa, incluindo o Security Enhanced Linux 
(SELinux), que e discutido no Capitulo 24. 

Usando listas de verificaęao de seguranęa 

Listas de verificaęao de seguranęa sao urna parte necessaria da fasę de pianej amento. Essas listas 
tambem serao uteis durante a fasę de implementaęao do seu piano de seguranęa. 

Matriz de controle de acesso 

Urna lista de verificaęao util e urna Matriz de Controle de Acesso. Essa matriz e simplesmente urna 
tabela que voce mesmo cria. Ela enumera sujeitos ou papeis emrelaęao a objetos e seus niveis de 
classificaęao. 


inęao 

a em mente que sua Matriz de Controle de Acesso e considerada sensivel a dados; ela e um dos objetos dos 
mas e deve ser classificada de acordo com as necessidades de integridade e privacidade de dados. Apenas as 
oas com niveis apropriados de autorizaęao devem serautorizadas a vere/ou modifica-la. 


A Tabela 22.1 e urna matriz de controle de acesso simplificada para urna organizaęao, utilizando um 
modelo de acesso MAC. Neste exemplo, os sujeitos (usuarios e programas) sao listados na primeira 
coluna e os objetos (programas e dados) sao listados na primeira linha. 


TABELA 22.1 

Matriz de Controle de Acesso Baseada emum Modelo MAC 

eito/objeto 

Programa ABC (Baixo) 

Dados XYZ(Alto) 

?snahan, Christine 

Sim 

Sim 

les, Tim 

Sim 

Nao 

C Program 

N/D 

Nao 


Na Tabela 22.1, voce pode ver que Tim Jones tern acesso ao programa ABC, mas nao aos dados XYZ. 
Alem disso, o programa ABC nao tern acesso aos dados XYZ. Essas matrizes permitem que urna equipe 
de pianej amento de seguranęa revise facilmente os direitos de acesso e que urna equipe de 
implementaęao de seguranęa configure precisamente os direitos de acesso corretos. 

Listas de verificaęao de seguranęa da industria 

As yulnerabilidades de seguranęa mudam constantemente. Toda vez que voce se protege contra urna 






potencial invasao ou um programa malicioso, outro ganha vida. 

Por causa disso, listas de yerificaęao de seguranęa sao continuamente atualizadas por organizaęóes 
goyernamentais e pela industria. Essas listas sao uma ótima aj uda para pianej ar como proteger seu 
sistema Linux. Eis alguns bons sites onde yerificar listas de seguranęa novas e melhoradas. Para uma lista 
bembasica de seguranęa do Linux, visite www. sans . org/score/linuxchecklist. php. Se 
voce precisar de uma lista de yerificaęao de seguranęa mais detalhada, consulte as informaęóes nestes 
sites: 


■ National Checklist Program’s (NCP) National Yulnerability Database: 

http://web.nvd.nist.gov/view/ncp/repository 

■ Normas de gerenciamento para executar um sistema de computador seguro da International 

Standards Organization (ISO): http : //iso27 0 01security. com 

■ Recomendaęóes gerais da International Standards Organization para proteger sistemas de 

computador por meio de controles: 

http://iso27001security.com/html/27002.html 

Agora, com as classificaęóes dos sujeitos e objetos, matriz de controle de acesso e listas de yerificaęao 
de seguranęa, voce pode passar para a próxima fasę da seguranęa. A fasę de implementaęao e onde voce 
realmente comeęara a proteger o sistema de computador Linux. 

Entrando na fasę de execuęao _ 

E irrealista pensar que voce iniciaria a fasę de implementaęao do Ciclo de Yida do Processo de 
Seguranęa apenas depois de concluir a fasę de pianej amento. Arealidade e que muitas vezes as fases do 
Ciclo de Yida do Processo de Seguranęa se sobrepóem Frequentemente, os sistemas de computador tern 
de estar prontos e instalados e ja dentro do processo de garantia de seguranęa antes mesmo de uma fasę 
de pianej amento ser iniciada. 

Por isso, e importante entender algumas implementaęóes basicas de seguranęa. Esses principios basicos 
incluem seguranęa fisica, recuperaęao após desastre, gerenciamento de conta de usuario, senhas de contas 
e outros temas relacionados. 

Implementaęao da seguranęa fisica 

A fechadura da porta da sala do seryidor e uma primeira linha de defesa. Apesar de um conceito muito 
simples, isso e frequentemente ignorado. O acesso ao seryidor fisico significa acesso a todos os dados 
que ele contem Nenhum software de seguranęa pode proteger seus sistemas se alguem com intenęóes 
maliciosas tiver acesso fisico ao seryidor Linux. 

Seguranęa basica da sala fisica do seryidor inclui itens como: 


■ Uma fechadura ou um alarme de seguranęa na porta da sala do seryidor 

■ Controles de acesso que só permitem acesso autorizado e identificaęao de quem acessou a sala e 




quando o acesso ocorreu, como um sistema de entrada com cartao 


■ Um sinal indicando “Proibida a entrada de pessoal nao autorizado” na porta 

■ Politicas sobre quem pode acessar a sala e quando o acesso pode ocorrer, por grupos como a 

equipe de limpeza, administradores de servidor e outros 

A seguranęa fisica inclui controles ambientais. Devem ser implementados sistemas apropriados de 
combate a incendio e ventilaęao adequada para a sala dos servidores. 

Alem da seguranęa fisica basica de urna sala de servidores, deve ser dada atenęao aquilo que esta 
fisicamente na mesa de cada funcionario. Desktops e laptops talvez precisem ser mantidos bloqueados. 
Impressóes digitais muitas vezes permanecem nos tablets, o que pode revelar PINs e senhas. Portanto, 
urna polltica de limpeza de tela dos tablets talvez precise ser implementada. 

Urna polltica de mesa limpa (Clean Desk Policy, CDP) exige que ou apenas os documentos emque as 
pessoas estao atualmente trabalhando permaneęam em urna mesa ou que todos os documentos sejam 
trancados no finał do dia. Urna CDP protege as informaęóes sigilosas contra coleta por pessoal nao 
autorizado oubisbilhoteiros. E, por firn, urna polltica “nenhuma senha escrita” e obrigatória. 


Implementando recuperaęao após desastre 

Desastres aconteceme eles podemexpor os dados de sua organizaęao a situaęóes inseguras. Portanto, 
parte da seguranęa do computador inclui a preparaęao para um desastre. 

Semelhante ao ciclo de vida completo do processo de seguranęa, a recuperaęao após desastre inclui a 
criaęao de planos de recuperaęao após desastre, teste e revisao dos planos. Os planos devem ser testados 
e atualizados para manter sua confiabilidade em situaęóes reais de desastre. 

Os planos de recuperaęao após desastre devemincluir: 

■ Quais dados devem ser incluidos nos backups 

■ Onde os backups devem ser armazenados 

■ Por quanto tempo os backups sao mantidos 

■ Como a midia de backup e reciclada no armazenamento 

Dados, midia e software de backup devem ser incluidos na lista de verificaęao da matriz de controle de 
acesso. 


jnęao 

portante determinarquantas cópias de backup de cada objęto devem ser mantidas. Embora voce possa precisar 
penas tres cópias de seguranęa de um determinado objęto, outro objęto poderia ser importante o bastante para 
manter mais cópias. 


Utilitarios de backup em um sistema Linux incluem: 






■ amanda (Advanced Maryland Automatic NetWork Disk Archiver) 

■ cpio 

■ dump/restore 

■ tar 

Os utilitarios cpio, dump/restore e tar normalmente sao pre-instalados emuma distribuięao 
Linux. Apenas amanda nao e instalado por padrao. Mas amanda e extremamente popular porque e 
bastante flexlvel e pode ate fazer o backup de um sistema Windows. Se precisar de mais informaędes 
sobre o utilitario de backup amanda, consulte www. amanda . org. O utilitario que voce emultima 
instancia escolhe deve atender as necessidades de seguranęa especificas da organizaęao para backup. 

Comsorte, os desastres só ocorrerao raramente. Mas, todos os dias, os usuarios efetuamo login no seu 
sistema Linux. Contas e senhas de usuario tern configuraęóes basicas de seguranęa que devem ser 
revisadas e implementadas conforme a necessidade. 


Protegendo contas de usuario 

As contas de usuario sao parte do processo de autenticaęao que permite aos usuarios se conectar ao 
sistema Linux. O gerenciamento adequado das contas de usuario aumenta a seguranęa de um sistema. A 
configuraęao de contas de usuario foi abordada no Capitulo 11. Mas algumas regras adicionais sao 
necessarias para aumentar a seguranęa por meio do gerenciamento de contas de usuario. Elas incluem: 

■ Um usuario por conta de usuario. 

■ Nenhum login para a conta root. 

■ Definir datas de expiraęao para as contas temporarias. 

■ Remover contas de usuario nao utilizadas. 

Um usuario por conta de usuario 

As contas devem reforęar a responsabilizaęao. Assim, varias pessoas nao devem efetuar o login em urna 
conta. Quando varias pessoas compartilham urna conta, nao ha como provar que um determinado 
individuo realizou urna aęao particular. As aęóes deles sao negaveis, o que e chamado repudio no mundo 
da seguranęa. As contas devem ser configuradas como nao repudio. Em outras palavras, deve haver urna 
pessoa por conta de usuario de modo que as aęóes nao possam ser negadas. 


la 

sempre vai querer configurar a seguranęa do seu computador para nao repudio. Mas esse termo as vezes pode 
onfuso. Para ajuda-lo a lembrardos termos, pense desta maneira: 

Jdio - 0 usuario pode negaraęoes ou recusara responsabilidade. 

repudio - 0 usuario nao pode negaras aęóes ou recusara responsabilidade. 






Nenhum login na conta root 

Se varias pessoas puderem fazer login na conta root, voce tera outra situaęao de repudio. \bce nao pode 
monitorar o uso individual da conta root e para permitir o monitoramento do uso dela por individuos, 
deve ser instituida urna politica para usar sudo (ver Capitulo 8) em vez de login na conta root. 


ta 

buntu, nao ha acesso concedido para efetuar login na conta root. Voce deve usar sudo para todas as operaęoes 
dministraęao. 


Usar sudo fornece os seguintes beneficios de seguranęa: 

■ A senha da conta root nao tern de ser distribuida. 

■ \foce pode refinar o acesso a comandos. 

■ Todo o uso de sudo (quem, o que, quando) e gravado em /var/log/secure. 

■ Todas as tentativas de acesso malsucedido a sudo sao registradas emlog. 

Embora o uso de sudo possa ser imposto, urna coisa que voce precisa saber e que os usuarios com 
acesso a sudo podem emitir o comando sudo su - para efetuar o login na conta root. No código a 
seguir, o usuario chamado j oe, que teve seus privilegios de sudo configurados no Capitulo 8, agora 
utiliza o comando sudo para fazer login na conta root. 

[joe]$ sudo su - 

We trust you have received the usual lecture 
from the local System Administrator. It usually 
boils down to these two things: 

#1) Respect the privacy of others. 

#2) Think before you type. 

Password: ********* 

[joe]# whoami 
root 

Isso essencialmente evita os beneficios de seguranęa sudo. Para manter seu sistema Linux seguro, voce 
tera de desativar esse acesso. 

Para desativar sudo su - para usuarios sudo designados, voce deve voltar e editar o arquivo de 
configuraęao /etc/sudoers. Mais urna vez, usando o exemplo do Capitulo 8, o usuario chamado j oe 
atualmente terno seguinte registro no arquivo /etc/sudoers: 


joe ALL=(ALL) NOPASSWD: ALL 






Para desativar a capacidade de j oe de usar su do su voce precisara alterar o registro dele para 
que se pareęa como seguinte: 

joe ALL=(ALL) NOPASSWD: !/bin/su, /bin/, /sbin/, /usr/bin/, /usr/sbin/ 

Joe ainda sera capaz de executar todos os comandos no sistema como root, exceto su do su 
Adicionar o ponto de exclamaęao (!) na frente de /bin/su do registro de j oe instrui sudo a nao 
permitir que j oe execute esse comando especifico. Mas agora os comandos que j oe tempermissao 
para executar devemestar listados no registro dele. /bin/, /sbin/, /usr/bin/ e /usr/sbin/ 
instruem sudo a permitir que j oe execute todos os comandos localizados nesses diretórios. 


:a 

sistema Linux talvez mantenha o comando su emoutro local, em vez de /bin. Para determinar onde o 
ando su esta localizado, digite o comando which su na linha de comando do Linux. 


Se joe tentar usar sudo su -, ele recebera a seguinte mensagem: 

[joe]$ sudo su - 

Sorry, user joe is not allowed to execute 
'/bin/su as root on host.domain 

Agora, o uso do sudo no seu sistema Linux sera monitorado adequadamente e o acesso a sudo tera a 
capacidade desejada de nao repudio. A seguranęa da sua organizaęao precisa determinar a quantidade de 
detalhes que voce deve adicionar ao arquivo de configuraęao sudo. 


ta 

igure grupos administrativos no sistema Linux, como wheel ou admin, no arquivo /etc/sudoers como nao 
dio. Se urn registro em log de usuario for configurado como nenhum acesso ao comando su no arquivo 
c/sudoers file, mas se esse usuario forum membro de urn grupo que tern acesso a ele, o usuario ainda 
jra emitir sudo su - no sistema. Portanto, tambem e necessario configurar ! /bin/su para esse grupo 
inistrativo. 


Configu rando as datas de expiraęao nas contas temporarias 

Se houver consultores, estagiarios ou empregados temporarios que precisam de acesso aos seus sistemas 
Linux, sera importante configurar as contas de usuario com datas de expiraęao. A data de expiraęao e urna 
salvaguarda, caso voce se esqueęa de remover as contas deles quando eles nao mais precisarem de 
acesso aos sistemas da sua organizaęao. 

Para configurar urna conta de usuario com urna data de expiraęao, use o comando usermod. O formato e 
usermod -e aaaa-mm-dd nome_do_usuario. No código a seguir, a conta de Tim foi definida para 
expirar em 1° de janeiro de 2015. 









# usermod -e 2015-01-01 Tim 


Para yerificar se a conta foi devidamente configurada para expirar, confirme voce mesmo usando o 
comando chage. O comando chage e principalmente utilizado para yisualizar e alterar as informaęóes 
de enyelhecimento de senha de uma conta de usuario. Mas esse comando tambem contem informaęóes 
sobre expiraęao da conta. Aopęao -1 permite classificar as varias informaęóes as quais chage tem 
acesso. Para simplificar, redirecione a saida do comando chage para grep e procure a palayra 
“Account”. Isso produzira somente a data de expiraęao da conta do usuario. 

# chage -1 Tim | grep Account 

Account expires : Jan 01, 2015 

Como voce pode ver, a data de expiraęao da conta de Tim foi alterada com sucesso para 1° de janeiro de 
2015. 


:a 

oce nao usar o arquivo /etc/shadow para armazenar as senhas das suas contas, o utilitario chage nao 
onara. Aconfiguraęaodosistema para usaroarquivo /etc/shadow ediscutida maisadiante, nestecapitulo. 


Configure as datas de expiraęao das contas de todos os funcionarios temporarios. Alemdisso, considere 
revisar a data de expiraęao das contas de usuarios como parte das atividades de monitoramento de 
seguranęa. Essas atividades ajudama eliminar quaisquer potenciais brechas emseu sistema Linux. 

Removendo contas de usuarios nao utilizadas 

Manter disponiyeis contas antigas expiradas e sinonimo de problemas. Depois que um usuario saiu de 
uma organizaęao, e melhor seguir uma serie de passos para remover a conta dele juntamente com os 
dados: 


1 - Expirar ou desatiyar a conta. 

2 - Encontre arquivos no sistema pertencentes a conta usando o comando f ind /-user 

nome_de_usuar±o . 

3 - Faęa backup dos arquivos. 

4 - Remova os arquivos ou reatribua-os a um novo proprietario. 

5 - Exclua a conta do sistema. 

Os problemas ocorrem quando o Passo 5 e esquecido e as contas expiradas ou desativadas ainda estao no 
sistema. Um usuario mal-intencionado que ganha acesso ao seu sistema poderia renoyar a conta e entao 
se passar por um usuario legitimo. 

Para encontrar essas contas, pesquise o arquivo /etc/shadow. A data de expiraęao da conta esta no 
oitavo campo de cada registro emlog. Seria conyeniente se um fermato de data fosse utilizado. Emvez 
disso, esse campo mostra a data de expiraęao da conta como o numero de dias desde 1° de janeiro de 
1970. 






Yfoce pode usar um processo de dois passos para encontrar automaticamente as contas expiradas no 
arquivo /etc/shadow. Primeiro, configure uma variavel de shell (ver Capitulo 7) comdata de hoje no 
fermato “dias desde 1° de janeiro de 1970”. Entao, usando o comando gawk, voce pode obter e formatar 
as informaęóes necessarias a partir do arquivo /etc/shadow. 

Configurar uma variavel de shell coma data atual convertida no numero de dias desde 1° de janeiro de 
1970 nao e particularmente diflcil. O comando datę pode produzir o numero de segundos desde 1° de 
janeiro de 1970. Para conseguir o que voce precisa, divida o resultado do comando datę pelo numero 
de segundos emumdia: 86.400. Eis uma demonstraęao de como configurar a variavel de shell TODAY. 

# TODAY=$ (echo $(($(datę --utc --datę "$1" +%s)/86400))) 

# echo $TODAY 

15373 

Em seguida, as contas e as respectivas datas de expiraęao serao selecionadas do arquivo 
/etc/shadow usando gawk. O comando gawk e a versao GNU do programa awk usado no UNIX. A 
saida do comando e mostrada no código a seguir. Como seria de se esperar, muitas das contas nao tern 
uma data de expiraęao. Mas duas contas, Consultant e Intern, mostramuma data de expiraęao no 
fermato “dias desde 1° de janeiro de 1970”. Notę que voce pode pular essa etapa. Ela e apenas para fins 
de demonstraęao. 

# gawk -F: '{print $1,$8}' /etc/shadow 

chrony 
tcpdump 
j ohndoe 

Consultant 13819 
Intern 13911 

O $ 1 e $ 8 no comando gawk representam os campos nome de usuario e data de expiraęao nos registros 
do arquivo /etc/shadow. Para verificar as datas de expiraęao dessas contas e ver se elas expiraram, 
e necessaria uma versao mais refinada do comando gawk. 

# gawk -F: '{if (($8 > 0) && ($TODAY > $8)) print $1}' /etc/shadow 

Consultant 

Intern 

Somente contas comuma data de expiraęao sao coletadas pela parte ($8 > 0) do comando gawk. Para 
certificar-se de que essas datas de expiraęao estao depois da data atual, a variavel TODAY e comparada 
como campo data de expiraęao, $8. Se TODAY for maior que a data de expiraęao da conta, a conta sera 
listada. Como voce pode ver no exemplo anterior, ha duas contas vencidas que ainda estao no sistema e 
precisam ser removidas. 

Isso e tudo o que voce precisa fazer. Configure a variavel TODAY e entao execute o comando gawk. 
Todas as contas expiradas no arquivo /etc/shadow serao listadas para voce. Para remoyer essas 



contas, use o comando userdel. 


Contas de usuario sao apenas urna parte do processo de autenticaęao, permitindo que os usuarios acessem 
o sistema Linux. Senhas de conta do usuario tambem desempenham um papel importante no processo. 

Protegendo senhas 

As senhas sao a ferramenta de seguranęa mais basica de qualquer sistema operacional moderno e, 
consequentemente, o recurso de seguranęa mais comumente atacado. E natural que os usuarios queiram 
escolher urna senha que seja facil de lembrar, mas muitas vezes isso significa que eles selecionam urna 
senha que tambem e facil de adivinhar. 

Metodos de foręa bruta sao normalmente utilizados para ganhar acesso a um sistema de computador. 
Tentar senhas populares frequentemente produz resultados. Algumas das senhas mais comuns sao: 

■ 123456 

■ Senha 

■ princess 

■ rockyou 

■ abcl23 

Basta usar seu mecanismo de busca favorito na internet e procurar “senhas comuns”. Se voce conseguir 
encontrar essas listas, entao atacantes maliciosos tambem conseguem. Obviamente, escolher boas senhas 
e crucial para ter um sistema seguro. 

Escolhendo boas senhas 

Em geral, a senha nao deve ser facil de adivinhar, ser comum ou popular ou estar vinculada a voce de 
qualquer forma. Eis algumas regras a seguir ao escolher urna senha: 

■ Nao utilize qualquer variaęao de seu nome de login nem seu nome completo. 

■ Nao use urna palavra de dicionario. 

■ Nao utilize nomes próprios de qualquer tipo. 

■ Nao utilize seu numero de telefone, endereęo, sobrenomes, nem nomes de animais de estimaęao. 

■ Nao use nomes de sites. 

■ Nao use nenhuma linha contigua de letras ou numeros no teclado (como “qwerty” ou “asdfg”). 

■ Nao use nenhuma das recomendaędes acima com numeros ou pontuaęóes adicionados ao inicio ou 

finał, ou digitadas de tras para frente. 

Bem, agora, voce sabe o que nao fazer — de urna olhada nos dois itens principais que compóem urna 
senha forte: 



1 - Uma senha deve ter pelo menos 15 a 25 caracteres de comprimento. 

2 - Uma senha deve conter todos os seguintes: 

■ Letras minusculas 

■ Letras maiusculas 

■ Numeros 

■ Caracteres especiais, como: !$%*()- + = ,<>::“' 

Yinte e cinco caracteres e uma senha longa. Mas quanto maior a senha, mais segura ela e. O que sua 
organizaęao escolhe como o comprimento minimo de senha depende das suas necessidades de seguranęa. 


la 

bson Research Center tem materiais excelentes sobre senhas fortes, incluindo um artigo chamado “De que 
mho e seu monte de feno... e quao bem sua agulha esta escondida?” em 

r .grc.com/haystack.htm. 


Escolher uma boa senha pode ser dificil. Ela tem de ser dificil o bastante para nao ser adivinhada e facil 
o bastante para que voce possa lembrar. Uma boa maneira de escolher uma senha forte e selecionar a 
primeira letra de cada palavra de uma frase facil de lembrar. Certifique-se de adicionar numeros, 
caracteres especiais e letras maiusculas e minusculas. A frase que voce selecionar deve fazer sentido 
apenas para voce, e nao deve estar publicamente disponivel. A Tabela 22.2 lista exemplos de senhas 
fortes e os truques usados para lembrar-se delas. 


TABELA 22.2 Ideias para Boas Senhas 


iha 

Como lembrar 

ci7yo! 

My rusty car is 7 years old! 

mBplib 

2 elephants make BAD pets, 1 is 
better 

Mc?Gib 

Is that MY coat? Give it back 


As senhas parecem nao fazer sentido, mas, na verdade, sao relativamente faceis de lembrar. E claro, nao 
se esqueęa de nao usar as senhas listadas aqui. Agora que sao publicas, elas serao adicionadas aos 
dicionarios dos invasores maliciosos. 

Configu rando e alterando senhas 

\bce define sua própria senha usando o comando passwd. Digite o comando passwd e ele permitira 
que voce mude sua senha. Primeiro, ele pede que voce digite sua senha antiga. Para evitar que alguem 
espiando por tras de voce possa ve-la, a senha nao sera exibida enquanto voce digita. 

Supondo que voce digite sua senha antiga corretamente, o comando passwd pedira a nova senha. Ao 
digitar sua nova senha, ela e yerificada usando umutilitario chamado cracklib para determinar se ela 






e urna senha boa ou ruim. Usuarios nao root deverao tentar urna senha diferente se aquela que eles 
escolheram nao for uma boa senha. 

O usuario root e o unico usuario que tempermissao de atribuir senhas ruins. Depois que a senha foi 
aceita por cracklib, o comando passwd pede para voce digitar a nova senha uma segunda vez para 
garantir que nao ha erros de digitaęao (que sao dificeis de detectar quando voce nao pode ver aquilo que 
esta digitando). 

Ao executar como root, e possivel alterar a senha de um usuario fornecendo o nome de login desse 
usuario como umparametro para o comando passwd. Por exemplo: 

# passwd joe 

Changing password for user joe. 

New UNIX password: ******** 

Retype new UNIX password: ******** 

passwd: all authentication tokens updated successfully. 

Aqui, o comando passwd pede duas vezes para digitar uma nova senha para j oe. Nesse caso, ele nao 
solicita a senha antiga dele. 

Impondo melhores praticas de senha 

Agora, voce sabe como seria uma boa senha e como muda-la, mas como a impde no seu sistema Linux? 
Uma boa maneira de comeęar a impor as melhores praticas de senha e educar os usuarios do sistema. 
Usuarios educados sao usuarios melhores. Algumas ideias para a educaęao incluem: 

■ Adicionar um artigo sobre as melhores praticas de senha ao boletim mensal da sua organizaęao. 

■ Postar folhas de dicas nas salas de descanso, como “As dez piores senhas”. 

■ Enviar regularmente e-mails sobre seguranęa de computador aos funcionarios contendo dicas de 

senha. 

■ Fornecer treinamento sobre senhas aos novos funcionarios. 

Funcionarios que entendem a seguranęa de senha muitas vezes se esforęam para criar boas senhas no 
trabalho, bem como em casa. Um dos “ganchos” para ganhar a atenęao do usuario e deixar que os 
funcionarios entendamque essas senhas tambemfuncionambemao criar senhas pessoais, como para suas 
contas bancarias Online. 

Ainda assim, sempre havera alguns usuarios que se recusam a implementar boas praticas de senha. Alem 
disso, as politicas de seguranęa da empresa muitas vezes exigemque a senha seja trocada a cada certo 
numero de dias. Pode se tornar cansativo pensar emnovas senhas fortes a cada 30 dias! E por isso que 
frequentemente e necessario impor algumas tecnicas. 


:a 

s usuarios tiverem dificuldades para criar senhas seguras e unicas, considere instalar o utilitario pwgen no 
ma Linux. Esse utilitario de geraęao de senhas de código-fonte aberto cria senhas que sao feitas para serem 






unciaveis e memoraveis. Voce pode usaressas palavras geradas como um ponto de partida para criarsenhas de 
as. 


Valores padrao no arquivo /etc/login . def s para novas contas foramabordados no Capitulo 11. No 
arquivo login . def s estao algumas configuraęóes que afetamo envelhecimento e a duraęao das 
senhas: 


PASS MAX DAYS 

30 

PASS MIN DAYS 

5 

PASS MIN LEN 

16 

PASS WARN AGE 

7 


Nesse exemplo, o numero maximo de dias, PASS_MAX_DAYS, ate que a senha precise ser alterada e 30. 
O numero que voce define aqui depende da configuraęao especifica da sua conta. Para as organizaęóes 
que praticam a diretriz de “urna pessoa para urna conta”, esse numero pode ser muito maior que 30. Se 
houver contas compartilhadas ou varias pessoas que conhecem a senha de root, e imperativo alterar a 
senha com frequencia. Essa pratica atualiza efetivamente a lista das pessoas que conhecem a senha. 

Para evitar que os usuarios alterem as senhas para urna nova senha e entao imediatamente mude-as 
novamente, voce tera de definir PASS MIN DAYS como um numero maior que 0. No exemplo anterior, 
o periodo de tempo mais curto emque umusuario pode alterar novamente a senha e 5 dias. 

A configuraęao PASS WARN AGE e o numero de dias que umusuario sera avisado antes de ser foręado 
a mudar sua senha. As pessoas tendem a precisar de muitas advertencias e estimulos, portanto, o exemplo 
anterior define o tempo de aviso como 7 dias. 

No inicio deste capitulo, mencionei que urna senha forte tern de 15 a 25 caracteres. Com a definięao 
PASS MIN LEN, voce pode foręar os usuarios a usar umdeterminado numero minimo de caracteres nas 
senhas. A configuraęao escolhida deve basear-se nos planos do ciclo de vida de seguranęa da 
organizaęao. 


ta 

luntu nao tem a configuraęao PASS MIN LEN no arquivo login. def s . Em vez disso, essa configuraęao e 
da pelo utilitario PAM. 0 PAM e abordado no Capitulo 23. 


Para as contas que ja foram criadas, voce precisara controlar o envelhecimento de senha por meio do 
comando chage. As opęóes necessarias para controlar o envelhecimento de senha com chage estao 
listadas na Tabela 22.3. Observe que nao ha urna definięao de duraęao de senha no utilitario chage. 

TABELA 22.3 Opęoes de chage 
;ao Descrięao 


Configura o numero maximo de dias antes de ser necessario alterar uma senha. 









Equivalente a PASS_MAX_DAYS em /etc/login . defs 

Configura o numero minimo de dias antes de uma senha poder ser alterada novamente. 
Equivalente a PASS_MIN_DAYS em /etc/login . defs 

Configura o numero de dias que um usuario sera avisado antes de ser foręado a mudar a 
senha da conta. Equivalente a PAS S_WARN_AGE em /etc/login .defs 

O exemplo a seguir usa o comando chage para configurar os parametros de envelhecimento de senha 
para a conta Tim. Todas as tres opęóes sao usadas ao mesmo tempo. 

# chage -1 Tim | grep days 

Minimum number of days between password change : 0 

Maximum number of days between password change : 99999 

Number of days of warning before password expires : 7 

# 

# chage -M 30 -m 5 -W 7 Tim 

# 

# chage -1 Tim | grep days 

Minimum number of days between password change : 5 

Maximum number of days between password change : 30 

Number of days of warning before password expires : 7 

\bce tambempode usar o comando chage como outro metodo de vencimento de conta, que se baseia na 
expiraęao de senha da conta. Anteriormente, o utilitario usermod foi usado para expiraęao de conta. 
Use o comando chage comas opęóes -M e - I para bloąuear a conta. No código a seguir, a conta de 
Tim e visualizada usando chage -1. Apenas as informaęóes para as senhas da conta Tim sao 
extraidas. 

# chage -1 Tim | grep Password 

Password expires : never 

Password inactive : never 

\bce pode ver que nao ha definięóes para a expiraęao de senha (Password expires) ouinatividade 
de senha (Password inactive). No código a seguir, a conta esta configurada para ser bloqueada 5 
dias depois que a senha de Tim expirar, usando apenas a opęao -I. 

# chage -I 5 Tim 

# 

# chage -1 Tim | grep Password 

Password expires 


: never 





Password inactive 


: never 


Observe que nenhuma configuraęao mudou! Sem urna configuraęao de expiraęao de senha, a opęao -1 
nao tem nenhum efeito. Assim, usando a opęao -M, o numero maximo de dias sera definido antes de a 
senha expirar e a configuraęao para o tempo de inatividade de senha sera utilizada. 

# chage -M 30 -I 5 Tim 

# 

# chage -1 Tim | grep Password 

Password expires : Mar 03, 2014 

Password inactive : Mar 08, 2014 

Agora, a conta de Tim sera bloąueada 5 dias após sua senha expirar. Isso e util em situaęóes em que um 
funcionario saiu da empresa, mas sua conta de usuario ainda nao foi removida. Dependendo das 
necessidades de seguranęa da organizaęao, considere configurar todas as contas para que sejam 
bloqueadas alguns dias após a senha ter expirado. 

Entendendo os arquivos de senha e hashes de senha 

Os primeiros sistemas Linuxarmazenavamas senhas no arquivo /etc/passwd. As senhas eram 
hasheadas. Urna senha hasheada e criada usando umprocesso matematico unidirecional. Depois de criar 
o hash, voce nao pode recriar os caracteres originais a partir do hash. Eis como isso funciona: quando um 
usuario digita a senha da conta, o sistema Linux define um novo hash para a senha e, entao, compara o 
resultado do hash como hash original em /etc/passwd. Se eles corresponderem, o usuario e 
autenticado e autorizado a acessar o sistema. 

O problema como armazenamento desses hashes de senha no arquivo /etc/passwd tema ver comas 
configuraęóes de seguranęa do sistema de arquivos (veja Capitulo 4). As configuraęóes de seguranęa do 
sistema de arquivos para o arquivo /etc/passwd estao listadas aqui: 

# ls -1 /etc/passwd 

-rw-r--r—. 1 root root 1644 Feb 2 02:30 /etc/passwd 

Como voce pode ver, todo mundo pode ler o arquivo de senha. \hce poderia achar que isso nao e um 
problema porque todas as senhas estao hasheadas. Mas individuos comintenęóes maliciosas criaram 
arquivos chamados tabelas arco-iris. Urna tabela arco-iris e simplesmente umdicionario de potenciais 
senhas que foram hasheadas. Por exemplo, a tabela arco-iris deve conter o hash para a popular senha 
“Password”, que e: 

$ 6$dhN5ZMUj $CNghj YIteau5xl8yX.f6PTOpendJwTOcXjlTDQUQZhhy 
V8hKzQ6Hxx6Egj 8P3VsHJ8Qrkv.VSR5dxcK3QhyMc. 

Por causa do acesso facil aos hashes de senha no arquivo /etc/passwd, e apenas urna questao de 
tempo antes que urna senha hasheada seja correspondida em urna tabela arco-iris e a senha de texto 
simples seja descoberta. 



ta 

scialistas em seguranęa dirao que as senhas nao estao apenas hasheadas, mas elas tambem estao salgadas. 
lar um hash significa que um valor gerado aleatoriamente e adicionado a senha original antes de ela ser 
eada. Isso torna ainda mais diffcil que a senha hasheada seja correspondida com a senha original. Mas, no 
c, o sal de hash tambem e armazenado com as senhas hasheadas. Assim, acesso de leitura ao arquivo 
.c/passwd significa que voce tern o valorde hash e seu sal. 


Portanto, as senhas hasheadas foram transferidas para um novo arquivo de configuraęao, 
/etc/shadow. Esse arquivo temas seguintes configuraędes de seguranęa: 

# ls -1 /etc/shadow 

-r-. 1 root root 1049 Feb 2 09:45 /etc/shadow 

Somente root pode visualizar esse arquivo. Assim, as senhas hasheadas permanecemprotegidas. Eis o 
finał de umarquivo /etc/shadow. \bce pode ver que ha palavras longas semsentido no registro de 
cada usuario. Essas palavras sao as senhas hasheadas. 

# taił -2 /etc/shadow 

j ohndoe:$ 6$j Jj dRN9/qELmb8xWMlLgOYGhEIxc/:15364:0:99999:7::: 

Tim:$6$z7 60AJ42$QXdhFyndpbVPVM5oVtNHs4B/:15372:5:30:7:16436:: 


inęao 

poderia herdar um sistema Linux que ainda utiliza o metodo antigo de manter as senhas hasheadas no arquivo 
c/passwd. Efacilcorrigirisso. Basta usarocomando pwconv eoarquivo / etc/shadow sera criado e as 
as hasheadas transferidas para ele. 


As seguintes informaęóes tambem sao armazenadas no arquivo /etc/shadow, alemdo nome da conta 
e a senha hasheada: 

■ Numero de dias (desde 1° de janeiro de 1970) desde que a senha foi alterada 

■ Numero de dias antes de a senha poder ser alterada 

■ Numero de dias antes de urna senha precisar ser alterada 

■ Numero de dias para avisar um usuario antes de urna senha precisar ser alterada 

■ Numero de dias em que conta e desabilitada após a senha expirar 

■ Numero de dias (desde 1° de janeiro de 1970) que urna conta foi desativada 

Isso deve parecer familiar, urna vez que sao as definięóes para o envelhecimento de senha abordadas 
anteriormente no capitulo. Lembre-se de que o comando chage nao funcionara se voce nao tiver um 
arquivo /etc/shadow configurado, nem o arquivo /etc/login . def s estara disponivel. 










Obviamente, as configuraędes de seguranęa do sistema de arquivos sao muito importantes para manter 
seu sistema Linux seguro. Isso e especialmente yerdadeiro para todos os arquivos de configuraęao de 
sistemas Linux e outros sistemas. 


Protegendo o sistema de arquivos 

Outra parte importante da fasę de implementaęao e configurar adequadamente a seguranęa do sistema de 
arquivos. Os principios basicos para as configuraędes de seguranęa foram abordados no Capitulo 4 e 
Listas de Controle de Acesso (ACL) no Capitulo 11. Mas ha algumas outras quest5es que precisamser 
adicionados a sua base de conhecimento. 

Amatriz de controle de acesso criada na fasę de planejamento sera urna grandę ajuda aqui. A 
configuraęao dos proprietarios e grupos de um arquivo ou diretório, bem como suas permissdes, deve ser 
guiada pela matriz. Sera um processo longo e entediante, mas vale a pena o tempo e esforęo. Alem de 
seguir a matriz de controle de acesso da sua organizaęao, ha algumas permissdes e configuraędes 
adicionais de arquivo as quais voce precisa prestar atenęao. 

Gerenciando permissdes perigosas do sistema de arquivos 

Se voce concedeu acesso rwxrwxrwx (777) total a cada arquivo no sistema Linux, voce podera 
imaginar o caos que viria a seguir. De muitas maneiras, caos semelhante pode ocorrer se voce nao 
gerenciar de perto as permissdes SetUID (SUID) e SetGID (SGID) (consulte os Capitulos 4 e 11). 

Arquivos coma permissao SUID na categoria Owner e permissao de execuęao na categoria Other 
permitirao que qualquer pessoa torne-se temporariamente o proprietario do arquivo enquanto ele esta 
sendo executado na memória. O piór caso seria se o proprietario do arquivo fosse root. 

Da mesma maneira, arquivos coma permissao SGID na categoria Owner e permissao de execuęao na 
categoria Other permitirao que qualquer pessoa torne-se temporariamente ummembro do grupo do 
arquivo enquanto ele esta sendo executado na memória. SGID tambempode ser definido nos diretórios. 
Isso define o ID de grupo de todos os arquivos criados no diretório para o ID do grupo do diretório. 

Arquivos executaveis com SUID ou SGID sao os favoritos de usuarios maliciosos. Assim, o melhor e 
utiliza-los moderadamente. Mas alguns arquivos precisam manter essas configuraędes. Dois exemplos 
sao os comandos passwd e sudo a seguir. Cada umdesses arquivos deve manter suas permissdes 

SUID. 

$ ls -1 /usr/bin/passwd 

-rwsr-xr-x. 1 root root 28804 Feb 8 2011 /usr/bin/passwd 
$ 

$ ls -1 /usr/bin/sudo 

-s — x — x. 2 root root 77364 Nov 10 04:50 /usr/bin/sudo 

Mas alguns sistemas Linux yemcomo comando ping definido coma permissao SUID. Isso poderia 
permitir que umusuario iniciasse umataque de negaęao de servięo ( denial-of-service , DoS), chamado 
tempestade de ping. Para remoyer a permissao, use o comando chmod desta maneira: 



$ chmod u-s /bin/ping 
$ ls -1 /bin/ping 

-rwxr-xr-x. 1 root root 39344 Nov 10 04:32 /bin/ping 

Remoęao e concessao de permissóes SUID e GUID a objetos devemestar na matriz de controle de 
acesso e serem determinadas durante a fasę do processo de ciclo de vida do planejamento de seguranęa. 

Protegendo os arquivos de sen ha 

O arquivo /etc/pass wdeo arquivo que o sistema Linuxusa para verificar as informaęóes da conta 
do usuario e foi discutido anteriormente neste capitulo. O arquivo /etc/passwd deve ter as seguintes 
configuraęóes de permissao: 

■ Proprietario: root 

■ Grupo: root 

■ Permissóes: (644) Proprietario: rw- Grupo: r-- Outros: r-- 

O exemplo a seguir mostra que o arquivo /etc/passwd temas configuraęóes adequadas. 

# ls -1 /etc/passwd 

-rw-r—r —. 1 root root 1644 Feb 2 02:30 /etc/passwd 

Essas configuraęóes sao necessarias para que os usuarios possam fazer login no sistema e ver os nomes 
de usuario associados com os numeros de ID de usuario e ID de grupo. Mas os usuarios nao devem ser 
capazes de modificar o arquivo /etc/passwd diretamente. Por exemplo, umusuario malicioso 
poderia adicionar urna nova conta ao arquivo se o acesso de gravaęao fosse concedido a Other. 

O próximo arquivo e o /etc/shadow. Obviamente, ele esta estreitamente relacionado como arquivo 
/etc/passwd, porque tambeme utilizado durante o processo de autenticaęao de login. Esse arquivo 
/etc/shadow deve ter as seguintes configuraęóes de permissao: 

■ Proprietario: root 

■ Grupo:root 

■ Permissóes: (400) Proprietario: r -- Grupo:-Outros:- 

O código a seguir mostra que o arquivo /etc/shadow temas configuraęóes adequadas. 

# ls -1 /etc/shadow 

-r-. 1 root root 1049 Feb 2 09:45 /etc/shadow 

O arquivo /etc/passwd tern acesso de leitura para proprietario, grupo e outro. Observe como o 
arquivo /etc/shadow e muito mais restrito que o arquivo /etc/passwd. Para o arquivo 
/etc/shadow, apenas o proprietario recebe acesso de leitura. Isso e assimpara que apenas root possa 
yisualizar esse arquivo, como mencionado anteriormente. Assim, se apenas root puder visualizar esse 




arquivo, como um usuario conseguiria mudar sua senha uma vez que ela esta armazenada no arquivo 
/etc/shadow? O utilitario passwd, /usr/bin/passwd, usa o SUID de permissao especial. Essa 
configuraęao de permissao e mostrada aqui: 

# ls -1 /usr/bin/passwd 

-rwsr-xr-x. 1 root root 28804 Feb 8 2013 /usr/bin/passwd 

Portanto, o usuario que executa o comando passwd torna-se temporariamente root enquanto o comando 
e executado na memória, e pode, entao, gravar no arquivo /etc/shadow. 


ta 

nao tern acesso de gravaęao as permissoes /etc/shadow, entao como root grava no arquivo 
c/shadow? 0 usuario root e o todo-poderoso e tem acesso completo a todos os arquivos, queras permissoes 
am ou nao listadas. 


O arquivo /etc/group (ver Capitulo 11) contem todos os grupos no sistema Linux. Suas permissóes 
de arquivo devemser definidas exatamente como o arquivo /etc/passwd: 

■ Proprietario: root 

■ Grupo: root 

■ Permissóes: (644) Proprietario: rw- Grupo: r-- Outros: r-- 

Alemdisso, o arquivo de senha do grupo, /etc/gshadow, precisa estar adequadamente protegido. 
Como seria de se esperar, a permissao do arquivo deve ser definida exatamente como o arquivo 

/etc/shadow: 

■ Proprietario: root 

■ Grupo: root 

■ Permissóes: (400) Proprietario: r-- Grupo:-Outros:- 

Bloqueando o sistema de arquivos 

A tabela do sistema de arquivos (ver Capitulo 12), /etc/f stab, tambem precisa de atenęao especial. 
O arquivo /etc/f stab e usado na inicializaęao para montar dispositivos. Ele tambem e usado pelos 
comandos mount, dump e f sck. O arquivo /etc/f stab deve ter as seguintes configuraęóes de 
permissao: 

■ Proprietario: root 

■ Grupo: root 

■ Permissoes: (644) Proprietario: rw- Grupo: r-- Outros: r-- 






Como o arquivo /etc/f stab e legivel por todos no sistema, nenhumcampo de comentario 
descrevendo os dispositivos montados deve ser inclmdo. Nao ha necessidade de revelar informaęóes 
adicionais sobre o sistema de arquivos que possam ser utilizadas por um usuario mal-intencionado. 

Dentro da tabela do sistema de arquivos, ha algumas configuraęóes de seguranęa importantes que 
precisamser revisadas. Alemdas partięóes root, boot e swap, considere o seguinte: 

■ Armazene o subdiretório /home, onde os diretórios de usuario estao localizados, emuma partięao 

própria e: 

■ Configure a opęao nosuid para evitar que programas executaveis com permissóes SUID e 

SGID ativadas sejamexecutados ai. Programas que precisamde permissóes SUID e SGID 
nao devemser armazenados em / home e provavelmente sao os mais maliciosos. 

■ Configure a opęao nodev de modo que nenhum arquivo de dispositivo localizado ai seja 

reconhecido. Os arquivos de dispositivo devemser armazenados em /dev, nao em /home. 

■ Configure a opęao noexec de modo que nenhum programa executavel armazenado em / home 

possa ser executado. Programas executaveis nao devemser armazenados em / home e 
provavelmente sao os mais maliciosos. 

■ Coloque o subdiretório /tmp, onde os arquivos temporarios estao localizados, em urna partięao 

própria e use as mesmas configuraęóes de opęóes que /home: 

■ nosuid 

■ nodev 

■ noexec 

■ Armazene o subdiretório /usr, onde os programas e dados do usuario estao localizados, emuma 

partięao própria e configure a opęao nodev para que nenhum arquivo de dispositivo localizado 
ai seja reconhecido. 

■ Coloque o subdiretório /var, onde os arquivos importantes de log de seguranęa estao 

localizados, em urna partięao própria e use as mesmas configuraęóes de opęóes que /home: 

■ nosuid 

■ nodev 

■ noexec 

Colocar o itemanterior no arquivo /etc/f stab ira se parecer comisto: 


/dev/sdbl 

/home 

ext4 

nodev,noexec,nosuidl 

2 

/dev/sdcl 

/tmp 

ext4 

nodev,noexec, nosuidl 

1 

/dev/sdb2 

/usr 

ext4 

nodev 1 

2 

/dev/sdb3 

/var 

ext4 

nodev,noexec,nosuidl 

2 



Essas opędes de mount ajudarao a bloąuear ainda mais o sistema de arquivos e adicionarao outra 
camada de proteęao contra pessoas comintenęoes maliciosas. 


ta 

assado, era comum que os usuarios mantivessem os programas nos diretórios iniciais $HOME/bin. Isso pode 
ma pratica muito perigosa do ponto de vista da seguranęa. Mas sao as necessidades e normas de seguranęa da 
Drganizaęao que irao determinarse essa pratica deve continuar. 


Mais urna vez, o gerenciamento das varias permissoes de arquivo e opęoes de f stab devemestar na 
matriz de controle de acesso e ser determinado durante a fasę de Pianej amento do Ciclo de Vida do 
Processo de Seguranęa. Os itens que voce escolhe implementar devem ser determinados pelas 
necessidades de seguranęa da organizaęao. 

Gerenciando softwares e servięos 

Muitas vezes, o foco do administrador e garantir os softwares e servięos necessarios em um sistema 
Linux. Do ponto de vista da seguranęa, voce precisa adotar a perspectiva oposta e assegurar que 
softwares e servięos desnecessarios nao estejamemum sistema Linux. 

Removendo softwares e servięos nao utilizados 

Durante a fasę de pianej amento do Ciclo de Vida do Processo de Seguranęa, umdos seus resultados deve 
ser urna “lista de verificaęao de softwares e servięos necessarios”. Esse sera seu ponto de partida para 
determinar o que remover do sistema. Com a lista de yerificaęao em maos, voce pode comeęar o 
processo de revisao e remoęao de softwares e servięos desnecessarios: 

L Revise os servięos atuais no sistema. 

2 - Observe quais servięos nao utilizados devem ser removidos. 

3 - Desabilite e remova os servięos nao utilizados. 

4 - Revise os softwares instalados no sistema. 

5 - Observe quais softwares nao utilizados devem ser removidos. 

6 - Remova pacotes de software nao utilizados. 

Cada remoęao de servięos (ver Capitulo 15) e pacotes de software (ver Capitulo 10) deve ser 
inicialmente realizada em um ambiente de teste de algum tipo. Isso e especialmente verdadeiro se voce 
nao tiver certeza do efeito que isso poderia ter sobre um sistema de produęao. 

Atualizando pacotes de software 

Alem de remover os servięos e softwares desnecessarios, manter os softwares atualizados e fundamental 
para a seguranęa. As correęoes de bugs e patches de seguranęa mais recentes sao obtidas via atualizaędes 
de software. As atualizaędes de pacotes de software foram discutidas nos Capitulos 9 e 10. 






As atualizaęoes de software precisam ser feitas regułarmente. Quantas vezes e quando voce faz isso, 
naturalmente, depende das necessidades de seguranęa da organizaęao. 

Ybce pode automatizar facilmente as atualizaędes de software, mas como na remoęao de servięos e 
softwares, seria prudente primeiro testar as atualizaędes emumambiente de teste. Depois que os 
softwares atualizados nao mostram problemas, voce pode atualiza-los nos sistemas de produęao Linux. 

Implementaęao avanęada 

Ha varios outros tópicos importantes na fasę de implementaęao do Ciclo de Yida do Processo de 
Seguranęa. Eles incluem criptografia, Pluggable Authentication Modules (PAM) e SELinux. Esses tópicos 
ayanęados e detalhados foram colocados em capitulos separados, Capitulo 23 e Capitulo 24. 


Trabalhando na fasę de monitoramento 


Se voce fizer um bom trabalho de pianej amento e implementaęao de seguranęa do seu sistema, a maioria 
dos ataques maliciosos sera detida. Mas se um ataque ocorrer, voce precisa ser capaz de reconhece-lo. O 
monitoramento e urna atividade que precisa acontecer continuamente, independentemente de onde sua 
organizaęao esta atualmente no Ciclo de Yida do Processo de Seguranęa. 

Nessa fasę, voce monitora os arquivos de log, contas de usuarios e o próprio sistema de arquivos. Alem 
disso, voce precisara de algumas ferramentas para ajuda-lo a detectar invas5es e outros tipos de 
mai war e. 

Monitorando arquivos de log 

Entender os arquivos de log em que o Linux grava eventos importantes e fundamental para a fasę de 
monitoramento. Esses logs devem ser revistos regularmente. 

Os arquivos de log do sistema Linux estao principalmente localizados no diretório /var/log. A 
maioria dos arquivos no diretório /var/log e mantida pelo servięo rsyslogd (ver Capitulo 13). A 
Tabela 22.4 contemuma lista dos arquivos / var/log e urna breve descrięao de cada urn 


TABELA 22.4 

Arquivos de log no Diretório /var/log 


ne do log de sistema 

Nome de arquivo 

Descrięao 

ache Access Log 

/var/log/httpd/access log 

Armazena em log solicitaęoes de 
informaęoes do seu servidor 

Apache Web. 

ache Error Log 

/var/log/httpd/error log 

Registra em log erros de clientes 
tentando acessar dados no servidor 
Apache Web. 

i Logins Log 

btmp 

Registra tentativas de login 
malsucedidas. 








Ot Log 

ot Log 

)n Log 
Log 
P Log 

P Transfer Log 

fOME Display Manager Log 

stLog 

gin/out Log 
il Log 

SQL Server Log 

ws Log 

M Packages 


boot.log 

dmesg 

cron 

dpkg.log 
vsftpd.log 

xferlog 

/var/log/gdm/:0.log 

lastlog 

wtmp 

maillog 

mysąld.log 

spooler 

rpmpkgs 


Contem mensagens indicando ąuais 
servięos de sistema foram 
inicializados e desativados com 
sucesso e ąuais (se houver algum) 
nao conseguiram ser inicializados 
ou parados. As mensagens de 
inicializaęao mais recentes estao no 
firn do arquivo. 

Registra mensagens impressas pelo 
kernel durante a inicializaęao do 
sistema. 

Contem mensagens de status do 
daemon crond. 

Contem informaęoes sobre os 
pacotes Debian instalados. 

Contem mensagens relacionadas a 
transferencias feitas utilizando o 
daemon vsFTPd (servidor FTP). 

Contem informaęoes sobre os 
arquivos transferidos usando o 
servięo FTP. 

Guarda mensagens relacionadas a 
tela de login (gerenciador de video 
do GNOMĘ). Sim, ha realmente 
um caractere de dois-pontos no 
nome de arquivo. 

Registra a ultima vez que urna 
conta efetua login no sistema. 

Contem um histórico dos logins e 
logouts no sistema. 

Contem informaęoes sobre 
endereęos para os ąuais e dos ąuais 
foi enviado correio eletronico. Util 
para detectar spamming. 

Inclui informaęoes relacionadas a 
atividades do servidor do banco de 
dados MySQF (mysąld). 

Fornece um diretório contendo os 
logs das mensagens a partir do 
servidor Usenet News se voce 
estiver executando-o. 

Contem urna listagem de pacotes 
de RPM que estao instalados em 
seu sistema. Nao esta mais 















disponivel por padrao. Voce pode 
instalar o pacote ou simplesmente 
usar rpm-qa para visualizar uma 
lista dos pacotes RPM instalados. 


nba Log 

/var/log/samba/log.smbd 

Mostra as mensagens do servięo de 
daemon de arquivo Samba SMB. 

:urity Log 

secure 

Registra a data, a hora e a duraęao 
de tentativas de login e das sessoes. 

ldmail Log 

sendmail 

Mostra mensagens de erro 
registradas pelo daemon sendmail. 

lid Log 

/var/log/squid/access.log 

Contem mensagens relacionadas ao 
servidor de proxy/cache squid. 

;tem Log 

messages 

Fornece um arquivo de log de uso 
geral em que muitos programas 
registram mensagens. 

rep Log 

uucp 

Mostra mensagens de status do 
UNIX para o daemon UNIX Copy 
Protocol. 

IM Log 

yum.log 

Mostra mensagens do Yellow Dog 
Update Manager. 

3rg XII Log 

Xorg.0.log 

Inclui mensagens produzidas pelo 
servidor X.Org X. 


Os arquivos de log que estao no diretório /var/log do sistema dependerao dos servięos que estao em 
execuęao. Alem disso, alguns arquivos de log sao dependentes da distribuięao. Por exemplo, se voce 
usar o Fedora Linux, voce nao tera o arquivo de log dpkg. 

Amaioria dos arquivos de loge exibida usando os comandos cat, head, taił, morę ou less. Mas 
alguns deles tern comandos especiais para yisualizaęao (ver Tabela 22.5). 


TABELA 22.5 

Visualizando Arquivos de log que Precisam de Comandos Especiais 

ne de arquivo 

Comando de visualizaęao 

ip 

dump-utmp btmp 

esg 

dmesg 

log 

lastlog 

np 

dump-utmp wtmp 


Para um exemplo pratico de como voce pode usar os arquivos de log para monitoramento, veja a seguir o 
finał do arquivo /va r/log/ messa ges. Observe que o comando yum foi usado para instalar o pacote 

sysstat. 


# taił -5 /var/log/messages 

Feb 3 11:51:10 localhost dbus-daemon[720]: 


* * 


Message: D-Bus service launched with name: 
net.reactivated.Fprint 

Feb 3 11:51:10 localhost dbus-daemon[720]: ** 

Message: entering main loop 

Feb 3 11:51:40 localhost dbus-daemon[720]: ** 

Message: No devices in use, exit 

Feb 3 12:08:25 localhost yum[5698]: Installed: 
lm_sensors-libs-3.3.1-l.fcl6.i686 

Feb 3 12:08:25 localhost systemd[l]: Reloading. 

Feb 3 12:08:25 localhost yum[5698]: Installed: 
sysstat-10.0.2-2.fcl6.i686 

Para verificar a instalaęao, voce pode visualizar o /var/log/yum. log, como mostrado no exemplo 
a seguir. \foce pode ver que o yum .log verifica se a instalaęao ocorreu. Se, por alguma razao, voce ou 
alguem na equipe de administrador nao instalou esse pacote, urna investigaęao mais aprofundada deve ser 
feita. 

# taił -3 /var/log/yum.log 

Feb 03 11:08:51 Installed: 2:nmap-5.51-1.fcl6.i686 

Feb 03 12:08:25 Installed: lm_sensors-libs-3.3.1-1.fcl6.i686 

Feb 03 12:08:25 Installed: sysstat-10.0.2-2.fcl6.i686 

\bce deve ter em mente as seguintes importantes questdes de seguranęa relativas ao gerenciamento dos 
arquivos de log: 

Reveja o arquivo de configuraęao do daemonrsyslog, /etc/rsyslog. conf para garantir que as 
informaęóes desejadas sao monitoradas (ver Capitulo 13). 

■ Monitore quaisquer modificaęóes em /etc/rsyslog. conf. 

■ Revise /etc/rsyslog. conf para garantir que as tentativas de login sao enviadas para 

/ var/log/secure pela configuraęao authpriv* / var / log/secure. Para o 
Ubuntu, as tentativas de login sao enviadas para /var/log/auth . log pela configuraęao 

auth,authpriv. * /var/log/auth.log. 

■ Crie e acompanhe os cronogramas de revisao de log para “olhos humanos”. Por exemplo, pode 

ser importante visualizar diariamente quemusa o comando sudo, que e registrado no arquivo 

/var/log/secure. 

■ Crie alertas de log. Por exemplo, um aumento repentino no tamanho de um arquivo de log, como 

/var/log/btmp, e urna indicaęao de umproblema potencialmente malicioso. 

■ Mantenha a integridade do arquivo log. 

■ Revise as permissóes de arquivo de log. 

■ Revise o cronograma de rotaęao de log no arquivo de configuraęao logrotate, 

/etc/logrotate.conf. 

■ Inclua os arquivos de log nos planos de backup e retenęao de dados. 



■ Implemente as melhores praticas, como limpar arquivos de log adequadamente para nao 

perder as configuraęóes de permissao de arquivo. Para limpar um arquivo de log sem perder 
suas configuraęóes de permissao use o slmbolo de redirecionamento da seguinte forma: 

> nomeDoArquivoDeLog. 

Arquivos de log sao obviamente importantes na fasę de monitoramento do Ciclo de Vida do Processo 
de Seguranęa. Outro item importante a monitorar e contas de usuario. 


Monitorando contas de usuario 

Contas de usuario sao frequentemente utilizadas em ataques maliciosos em um sistema por meio de 
acesso nao autorizado a urna conta atual, criaęao de novas contas falsas ou deixando para tras urna 
conta para acessar mais tarde. Para evitar esses problemas de seguranęa, acompanhar as contas de 
usuario precisa fazer parte da fasę de monitoramento. 

Detectando novas contas e privilegios falsificados 

Contas criadas que nao passampela autorizaęao apropriada devemser consideradas falsas. Alem 
disso, modificar urna conta de qualquer forma que fornece um diferente numero de User Identification 
(UID) nao autorizado ou adiciona associaęóes de grupo nao autorizadas e urna maneira de escalada de 
direitos. Preste atenęao aos arquivos /etc/passwd e /etc/group para monitorar essas 
possiveis violaę5es. 

Para ajuda-lo a monitorar os arquivos /etc/passwd e /etc/group, use o daemon de auditoria. 

O daemon de auditoria e urna ferramenta de auditoria extremamente poderosa que permite selecionar 
os eventos do sistema para monitorar e grava-los, e fornece capacidades de criaęao de relatórios. 

Para comeęar a auditar os arquivos /etc/passwd e /etc/group, voce precisa usar o comando 
auditctl. No minimo sao necessarias duas opęóes para iniciar esse processo: 

■ -w nome_do_arquivo — Ativa a monitoraęao do arquivo nome_do_arqu±vo. O 

daemon de auditoria ira monitorar o arquivo por seu numero de inode. Um numero inode e urna 
estrutura de dados que contem informaęóes sobre um arquivo, incluindo sua localizaęao. 

■ -p gatilho (s) — Se umdesses tipos de acesso ocorrer (r =read, w=write, x=execute, 

a-attńbute change) para nome_do_arquivo, essa opęao dispara um registro de auditoria. 

No código a seguir, a monitoraęao do arquivo /etc/passwd foi ativada usando o comando 
auditctl. O daemon de auditoria ira monitorar o acesso, o que consiste emqualquer leitura, 
gravaęao ou alteraęao no atributo de arquivo: 

# auditctl -w /etc/passwd -p rwa 


Jota 

epois de iniciar urna auditoria de arquivo, talvez voce queira desativa-lo em algum momento. Para desativar uma 
uditoria, use o comando, auditctl -w nomeDoArquivo -p gatilho( s). 






ara ver urna lista dos arquivos atuais auditados e suas configuraęóes de monitoramento, digite auditctl -1 
a linha de comando. 


Para analisar os logs de auditoria, use o comando ausearch do daemon de auditoria. Aunica opęao 
necessaria aqui ea-f, que especifica os registros que voce quer ver no log de auditoria. Abaixo, esta 
umexemplo das informaęóes de auditoria de /etc/passwd: 

# ausearch -f /etc/passwd 

time->Fri Feb 3 04:27:01 2014 
type=PATH msg=audit(1328261221.365:572): 
item=0 name="/etc/passwd" inode=170549 
dev=fd:01 mode=0100644 ouid=0 ogid=0 
rdev=0 0 : 0 0 obj =system_u:obj ect_r:etc_t:sO 
type=CWD msg=audit(1328261221.365:572): cwd="/" 

time->Fri Feb 3 04:27:14 2014 

type=PATH msg=audit(1328261234.558:574 ) : 
item=0 name="/etc/passwd" inode=170549 

dev=fd:01 mode=0100644 ouid=0 ogid=0 
rdev=00 : 00 obj =system_u:obj ect_r:etc_t:sO 
type=CWD msg=audit(1328261234.558:574) : 
cwd="/home/j ohndoe" 

type=SYSCALL msg=audit(1328261234.558:574): 
arch=40000003 syscall=5 success=yes exit=3 
a0=3b22d9 al=80000 a2=lb6 a3=0 items=l ppid=3891 
pid=21696 auid=1000 uid=1000 gid=1000 euid=1000 
suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 
tty=ptsl ses=2 coiran="vi" exe="/bin/vi" 
subj =unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023" 

Ha muitas informaęóes para revisar. Alguns itens irao ajuda-lo a ver qual evento de auditoria 
aconteceu para acionar o registro na parte inferior. 

■ time — A data/hora da atividade 

■ name — O nome do arquivo, /etc/passwd, sendo monitorado 

■ inode — O numero de inode de /etc/passwd nesse sistema de arquivos 

■ uid — O ID de usuario, 100, do usuario executando o programa 

■ exe — O programa, /bin/vi, usado no arquivo /etc/passwd 

Para determinar a conta de usuario a qual e atribuido o UID de 100, examine o arquivo 
/etc/password. Neste caso, a UID de 100 pertence ao usuario j ohndoe. Assim, a partir do 
registro do evento de auditoria apresentado acima, voce pode determinar que a conta j ohndoe tentou 




usar o editor vi no arquivo /etc/passwd. E duvidoso que isso tenha sido uma aęao inocente e 
exige mais inyestigaęao. 


ta 

mando ausearch nao retornara nada se nenhum evento de monitoraęao em um arquivo foi disparado. 


O daemon audit e suas ferramentas associadas sao extremamente ricos. Para entender mais sobre isso, 
examine nas paginas man os seguintes utilitarios de daemons de auditoria e arquivos de configuraęao: 

■ auditd — O daemon de auditoria 

■ auditd.conf — Arquivo de configuraęao do daemon de auditoria 

■ autditctl — Controla o sistema de auditoria 

■ audit.rules — Regras de configuraęao carregadas na inicializaęao 

■ ausearch — Pesquisa os itens especificados nos logs de auditoria 

■ aureport — Criador de relatório para os logs de auditoria 

■ audispd — Envia informaęóes de auditoria para outros programas 

O daemon de auditoria e uma maneira de monitorar os arquivos importantes. \hce deve revisar os 
arquivos de conta e grupo regularmente tambem com um “olho humano” para ver se algo parece irregular. 

Arquivos importantes, como /etc/passwd, precisamser monitorados no que dizrespeito a criaęao de 
contas nao autorizadas. Mas tao ruim quanto uma nova conta de usuario nao autorizada e uma conta de 
usuario autorizada com uma senha ruim. 

Detectando senhas ruins de contas 

Mesmo comtodos os seus bons esforęos, senhas ruins serao utilizadas. Portanto, voce precisa monitorar 
as senhas das contas dos usuarios para garantir que elas sao fortes o suficiente para resistir a um ataque. 

Uma ferramenta solida de monitoramento de senha que voce pode usar e a mesma que usuarios mal- 
intencionados usam para quebrar senhas de contas, John the Ripper. John the Ripper e uma ferramenta 
liyremente disponiyel e de código-fonte aberto que pode ser usada na linha de comando do Linux. Ela 
nao e instalada por padrao. Para uma distribuięao do Fedora, voce precisara emitir o comando yum 
install j ohn para instala-la. 




instalar John the Ripper no Ubuntu, use o comando sudo apt-get install john. 


Para poder usar John the Ripper a firn de testar senhas de usuario, voce deve primeiro extrair os nomes e 
senhas das contas usando o comando unshadow. Essas informaęóes precisamser redirecionadas para 









umarquivo para ser usado por j ohn, como mostrado aqui: 

# unshadow /etc/passwd /etc/shadow > password.file 

Agora, edite o password. file usando seu editor de texto favorito para remover quaisquer contas sem 
senhas. Como e prudente limitar John the Ripper a testar apenas algumas poucas contas de cada vez, 
remova as contas que voce nao quer testar no momento. 


męao 

tilitarios john usam intensamente a CPU. Ele nao define seu valor nice como 19 a firn de diminuir sua 
idade. Mas seria prudente executa-lo em um sistema que seja de produęao ou fora do horario de pico e apenas 
algumas contas de cada vez. 


Agora, use o comando j ohn para tentar quebrar as senhas. Para executar j ohn contra o arquivo de 
senha criado, emita o comando john nomeDoArquivo. No trecho de código a seguir, voce pode ver a 
saida da execuęao de j ohn contra o password. file de exemplo. Para fins de demonstraęao, apenas 
urna conta foi deixada no arquivo de exemplo. E a conta, Samantha, recebeu a senha ruim password. 
\bce pode ver como foi rapido para John the Ripper quebrar a senha. 

# john password.file 

Loaded 1 password hash (generic crypt(3) [?/32]) 

password (Samantha) 

guesses: 1 time: 0:00:00:44 100% (2) c/s: 20.87 
trying: 12345 - missy 

Dse the "—show" option to display all of the 
cracked passwords reliably 

Para demonstrar como senhas fortes sao vitais, considere o que acontece quando a senha da conta de 
Samantha e alterada de password para Passwordl234. Embora Passwordl234 ainda seja urna 
senha fraca, leva mais de 7 dias de tempo de CPU para quebra-la. No código a seguir, j ohn foi 
finalmente abortado para acabar com a tentativa de quebra de senha. 

# passwd Samantha 

Changing password for user Samantha. 

# john password.file 

Loaded 1 password hash (generic crypt(3) [?/32]) 

time: 0:07:21:55 (3) c/s: 119 trying: tth675 - tth787 

Session aborted 

Assimque as tentativas de quebra de senhas foremconcluidas, o password. file deve ser removido 
do sistema. Para saber mais sobre John the Ripper, visite www. openwall. com/j ohn. 


Monitorando o sistema de arquivos 






Programas mal-intencionados muitas vezes modificamos arquivos. Eles tambem podem tentar cobrir seus 
rastros fingindo ser arquivos e programas comuns. Mas ha maneiras de descobri-los por meio de varias 
taticas de monitoramento discutidas nesta seęao. 

Verificando pacotes de software 

Normalmente, se voce instalar um pacote de software a partir de um repositório padrao ou baixar um 
pacote de umsite respeitavel, voce nao tera nenhum problema. Mas sempre e bomverificar seus pacotes 
de software instalados para ver se eles foramcomprometidos. O comando para fazer isso e rpm -V 
nome_do_pacote. 

Ao verificar o software, as informaęóes dos arquivos dos pacotes instalados sao comparadas com os 
metadados do pacote (ver Capltulo 10) no banco de dados rpm. Se nenhum problema for encontrado, o 
comando rpm -V nao retornara nada. Mas se houver discrepancias, voce tera urna lista codificada. A 
Tabela 22.6 mostra os códigos utilizados e urna descrięao da discrepancia. 

TABELA 22.6 Discrepancias na Verificaęao de Pacotes 

ligo Discrepancia 

Tamanho do arquivo 
Tipos e permissoes de arquivo 
Soma de verificaęao MD5 

Numeros primarios e secundarios do arquivo do dispositivo 
Links simbólicos 
Propriedade de usuario 
Propriedade de grupo 

Numero de vezes que os arquivos foram modificados (mtime) 

Outros pacotes instalados dos quais esse pacote depende (conhecidos com capacidades) 


Na lista parciał a seguir, todos os pacotes instalados sao yerificados. \bce pode ver que os códigos 5, S 
e T retornaram, indicando alguns potenciais problemas. 

# rpm -qaV 


5S.T. c /etc/hba.conf 

. . .T. /lib/modules/3.2.1-3.fcl 6.i686/modules.devname 

. . .T. /lib/modules/3.2.1-3.fcl6.i686/modules.softdep 


\foce nao tern de yerificar todos os pacotes de urna só vez, pode yerificar apenas um pacote de cada vez. 
Por exemplo, se voce quiser yerificar o pacote nmap, simplesmente digite rpm -V nmap. 


ta 


















verificaros pacotes no Ubuntu, voce precisa do utilitario debsums. Ele nao e instalado por padrao. Para instalar 
sbsums, use o comando sudo aptget install debsums. Para verificar todos os pacotes 
lados, utilize o comando debsums -a. Para verificar um pacote individual, digite debsums 
ie_do_pacote. 


Verificando o sistema de arquivos 

A menos que voce tenha atualizado recentemente seu sistema, os arquivos binarios nao devem ter sido 
modificados por nenhuma razao. Para yerificar modificaęóes emarquivos binarios, use a data/hora de 
modificaęao dos arquivos, oumtime. O arquivo mtime e a data/hora emque o conteudo de umarquivo 
foi modificado pela ultima vez. Alem disso, voce pode monitorar a data/hora de criaęao ou alteraęao do 
arquivo ou ctime. 

Se suspeitar de atividades maliciosas, voce pode rapidamente yerificar o sistema de arquivos para ver se 
quaisquer arquivos binarios foram modificados ou alterados hoje (ou ontem, dependendo de quando voce 
acha que a inyasao ocorreu). Para fazer essa yerificaęao, use o comando f ind. 

No exemplo a seguir, urna yerificaęao e feita no diretório /sbin. Para ver se quaisquer arquivos 
binarios foram modificados ha menos de 24 horas, o comando f ind /sbin -mtime -1 e usado. No 
exemplo, ha varios arquivos exibidos, mostrando que eles foram modificados recentemente. Isso indica 
que urna atividade maliciosa esta ocorrendo no sistema. Para investigar ainda mais, revise a data/hora da 
ultima modificaęao de cada arquivo individual usando o comando stat nome_do_arquivo, como 
mostrado aqui: 

# find /sbin -mtime -1 
/sbin 

/sbin/init 

/sbin/reboot 

/sbin/halt 

# 

# stat /sbin/init 

File: '/sbin/init' -> '../bin/systemd' 

Size: 14 Blocks: 0 10 31ock: 4096 symbolic link 
Device: fd01h/64769d Inode: 9551 Linka: 1 

Access: (0777/lrvxrwxrwx) 

Uid: ( 0/ root) Gid: ( 0/ root) 

Context: system_u:object_r:bin_t:sO 
Access: 2014-02-03 03:34:57.276539176 -0500 
Modify: 2014-02-02 23:40:39.139372288 -0500 
Chanęe: 2014-02-02 23:40:39.140872415 -0500 
Birth: - 

\bce pode criar umbanco de dados de todos mtimes e ctimes originais do arquivo binario e entao 
executar um script para encontrar os mtimes e ctimes atuais, compara-los como banco de dados e 
obseryar quaisquer discrepancias. No entanto, esse tipo de programa ja foi criado e funciona bem. Ele e 
chamado Sistema de Detecęao de Intrusos (Intrusion Detection System) e e discutido mais adiante, neste 
capitulo. 

Ha varias yerificaęóes do sistema de arquivos que voce precisa executar regularmente. Os arquivos 
favoritos ou as configuraęóes de arquivo favoritas dos inyasores maliciosos estao listados na Tabela 
22.7. A tabela tambem lista os comandos para realizar as verificaę5es e por que o arquivo ou a 
configuraęao dele sao potencialmente problematicos. 






TABELA 22.7 Yerificaęoes Adicionais do Sistema de Arquivos 


uivo ou configuraęao 

Comando de varredura 

Problema com arquivo ou configuraęao 

'missao SetUID 

find / -perm -4000 

Permite que qualquer pessoa torne-se temporariamente 
o proprietario do arquivo enquanto ele esta em 
execuęao na memória. 

'missao SetGID 

find / -perm -2000 

Permite que qualquer pessoa torne-se temporariamente 
um membro do grupo do arquivo enquanto ele esta em 
execuęao na memória. 

juivos rhost 

find /home -name .rhosts 

Permite que um sistema confie totalmente em outro 
sistema. Nao deve estar em diretórios /home. 

juivos sem proprietario 

find / -nouser 

Indica um arquivo comprometido. 

]uivos sem grupo 

find / -nogroup 

Indica um arquivo comprometido. 


Essas verificaę5es do sistema de arquivos ajudarao a monitorar o que acontece no sistema e aj udar a 
detectar ataques maliciosos. Mas ha outros tipos de ataques que podemocorrer nos seus arquivos, 
incluindo virus e rootkits. 

Detectando vfrus e rootkits 

Duas ferramentas populares de ataque malicioso sao virus e rootkits, porque eles permanecem ocultos 
durante a execuęao das atividades maliciosas. Ambas as ferramentas precisam ser monitoradas nos 
sistemas Linux. 

Monitorando vfrus 

Um virus de computador e um software malicioso que pode se anexar aos softwares ja instalados no 
sistema e tern a capacidade de se espalhar atraves de midias ou redes. E um equivoco a ideia de que nao 
ha virus em Linux. Os criadores mal-intencionados de virus costumam focalizar os sistemas operacionais 
desktop mais populares, como o Windows. Mas isso nao significa que nao sejamcriados virus para 
sistemas Linux. 

Ainda mais importante, os sistemas Linux sao muitas vezes utilizados para lidar com servięos, como 
servidores de email, para sistemas desktop Windows. Portanto, os sistemas Linux utilizados para esses 
propósitos tambem precisam ser verificados quanto a virus para Windows. 

O software antivirus verifica os arquivos usando assinaturas de virus. Urna assinatura de v(rus e umhash 
criado a partir do código binario de um virus. O hash identificara positivamente esse virus. Os programas 
antivirus temumbanco de dados de assinaturas de virus que e usado para comparar com os arquivos para 
ver se ha urna correspondencia de assinatura. Dependendo do numero de novas ameaęas, umbanco de 
dados de assinaturas de virus pode ser atualizado frequentemente para fornecer proteęao contra essas 
novas ameaęas. 

Umbom software antivirus para seu sistema Linux, que e de código-fonte aberto e livre, e o ClamAY 
Para instalar o ClamAVemum sistema Fedora ou RHEL, digite o comando yum install clamav. 
\bce pode descobrir mais sobre o ClamAVem www. clamav. net, onde ha documentaęao sobre como 
configurar e executar o software antivirus. 



;a 

pode revisar os pacotes dispomveis para instalaęao do Ubuntu digitando o comando apt-cache search 
imav. Ha dois pacotes diferentes dispomveis para o Ubuntu; portanto, informe-se no site do ClamAV antes de 
Iherum. 


Monitorando rootkits 

Um rootkit e umpouco mais insidioso do que um virus. Ele e umprograma malicioso que: 

■ Permanece oculto, muitas vezes substituindo comandos ou programas do sistema 

■ Mantem acesso de alto mvel a um sistema 

■ E capaz de enganar os softwares criados para localiza-lo 

O propósito de um rootkit e obter e manter acesso de nivel de root a um sistema. O termo foi criado 
juntando “root”, que significa que ele precisa ter acesso de administrador, e “kit”, que significa que 
normalmente ha varios programas que operamemconjunto. 

Um detector de rootkit que pode ser usado em um sistema Linux e chkrootkit. Para instalar 
chkrootkit emum sistema Fedora ouRHEL, emita o comando yum install chkroot kit. 
Para instalar chkrookit emum sistema Ubuntu, use o comando sudo apt-get install 
chkrootkit. 


:a 

elhor e usar um Live CD ou pen drive para executar chkrootkit de modo que os resultados nao sejam 
;arados por um rootkit. 0 Fedora Security Spin tern o chkrootkit no Live CD. Voce pode obter essa 
buięao em http: //spins . fedorapro ject. org/security. 


Encontrar um rootkit com chkrootkit e simples. Depois de instalar o pacote ou inicializar o Live CD, 
digite chkrootkit na linha de comando. Ele pesquisara toda a estrutura de arquivos indicando 
quaisquer arquivos infectados. 

O código a seguir mostra urna execuęao de chkrootkit emum sistema infectado. O comando grep 
foi usado para pesquisar a palavra-chave INFECTED. Observe que muitos dos arquivos listados como 
“infectados” sao arquivos de comando do shell bash. Isso e tipico de um rootkit. 

# chkrootkit | grep INFECTED 

Checking 'du'... INFECTED 
Checking 'find'... INFECTED 
Checking 'ls'... INFECTED 
Checking 'lsof'... INFECTED 
Checking 'pstree'... INFECTED 

Searching for Suckit rootkit... Warning: /sbin/init INFECTED 









Na ultima linha do código anterior de chkrootkit esta urna indicaęao de que o sistema foi infectado 
com o rootkit Suckit. Mas, na yerdade, ele nao esta infectado com esse rootkit. Ao executar utilitarios, 
como programas antivirus e software de detecęao de rootkit, muitas vezes voce vai obter um numero de 
falsos positivos. Um falso positivo e urna indicaęao de um virus, rootkit ou outra atividade maliciosa que 
realmente nao existe. Nesse caso em particular, esse falso positivo e causado por umerro conhecido. 

O utilitario chkrootkit dever ser agendado para execuę5es regulares e, obviamente, deve ser 
executado sempre que houver suspeitas de urna infecęao por rootkit. Para encontrar mais informaęóes 
sobre chkrootkit, acesse http : / /chkrootkit. org. 

Detectando uma invasao 

Durante a fasę de Monitoramento do Ciclo de Vida do Processo de Seguranęa, ha varias coisas a 
monitorar. Um Sistema de Detecęao de Intrusos (Intrusion Detection System, IDS) — umpacote de 
software que monitora atividades de um sistema (ou sua rede) quanto a potenciais atividades maliciosas 
e informa essas atividades — pode ajuda-lo nesse trabalho. O sistema de detecęao de intrusos esta 
intimamente relacionado com um pacote de software que impedira uma inyasao, chamado software de 
Prevenęao de Intrusos. Alguns desses pacotes sao distribuidos juntos para fornecer Detecęao e 
Prevenęao de Intrusos. 

Varios pacotes de software do tipo sistema de detecęao de intrusos estao disponiveis para sistemas 
Linux. Alguns dos utilitarios mais populares estao listados na Tabela 22.8. \foce deve saber que o 
tripwire nao mais e de código-fonte aberto. Mas o código original do tripwire ainda esta 
disponiyel. Consulte mais detalhes no site do tripwire listado na Tabela 22.8. 


TABELA 22.8 Sistemas Populares de Detecęao de Intrusos do Linux 


ne do sistema 

Instalaęao 

Site Web 

e 

yum install aide 
apt-get install aide 

http ://aide. sourcef orge. net 

rrt 

Pacotes rpm ou tarball do 
site 

http://snort.org 

wire 

yum install tripwire 
apt-get install tripwire 

http://tripwire.org 


O IDS Adyanced Intrusion Detection Enyironment (aide), isto e, Ambiente Ayanęado de Detecęao de 
Inyasao, usa um metodo de comparaęao para detectar invas5es. Quando voce era crianęa, talvez tenha 
brincado como jogo de comparar duas imagens e encontrar aquilo que era diferente entre elas. O 
utilitario aide usa um metodo semelhante. Umbanco de dados da “primeira imagem” e criado. Em 
algummomento, mais tarde, outro banco de dados da “segunda imagem” e criado e o aide compara os 
dois bancos de dados e informa qual e diferente. 

Para comeęar, voce precisar tirar a “primeira foto”. O melhor momento para criar essa imagem e quando 
o sistema acabou de ser instalado. O comando para criar o banco de dados inicial e aide -iea 
execuęao dele e demorada. Parte da sua saida esta a seguir. Obserye que aide informa onde ele cria o 



banco de dados inicial da “primeira imagem”. 


# aide -i 

AIDE, version 0.15.1 

### AIDE database at /var/lib/aide/aide.db.new.gz initialized. 

O próximo passo e mover o banco de dados inicial da “primeira imagem” para umnovo local. Isso evita 
que o banco de dados original seja sobrescrito. Alem disso, a comparaęao só funcionara se o banco de 
dados for movido. O comando para move-lo para a nova localizaęao e lhe dar um novo nome e o 
seguinte: 

# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 

Agora, voce precisa criar um novo banco de dados, a “segunda imagem”, e compara-lo com o banco de 
dados original, a “primeira imagem”. Aopęao de verificaęao no comando aide, -c, criara umnovo 
banco de dados e executara urna comparaęao com o banco de dados antigo. A saida mostrada a seguir 
ilustra essa comparaęao sendo feito e o comando aide informando alguns problemas. 

# aide -C 


Detailed information abcut changes: 


File: /bin/find 
Size : 189736 , 4620 

Ctime : 2012-02-10 13:00:44 , 2012-02-11 03:05:52 
MD5 : <NCNE> , rUJj8NtNalv4nmV5zfoOjg== 

RMD160 : <N0NE> , 0CvkiYhqNnfwPTOM12HdKuUSFUE= 

SHA256 : <NONE> , jgóOSoawj4S/UZXm5h4aEGJ+x2gGwCmN 

File: /bin/ls 
Size : 112704 , 6122 

Czime : 2012-02-10 13:04:57 , 2012-02-11 03:05:52 
MC5 : PCeOop46MvRx9qfEcYTXOC== , I5hMBpbSOY8axhwlKj8Wdw= 
RMD160 : N3V3Joe5Vo+cOSSnedf9PCDXYlcI= , 
e0Zne37C rWHV42hAEgT21wrVfP4= 

SHA256 : vuOFe6FUgoAyNgIxYghOo6+SxR/zxSls , 

Z6nEMMBQyYm84 8 6yFSIbKBuMUi/+jrUi 


File: /bin/ps 
Size : 76694 , 4329 

Ctime : 2012-02-10 13:05:45 , 2012-02-11 03:05:52 
MD5 : lpCVAWbpeXINiBQWSUEJfQ== , 4E1JhyWkyMtm24vNLya6CA== 
RMD160 : xwICWNtQH242jHsH2E8rV5kgSkU= , 
AZlI2QNlKrWH45i3/V54H+lQQZk= 

SHA256 : ffUDesbfxx3YsLDhD0bLTW0c6nykc3m0 , 
wlqXvGWPFzF±r5yxN+n6t3eOWwlTtNC/ 


File: /usr/bin/du 
Size : 104224 , 4619 

Ctime : 2012-02-10 13:04:58 , 2012-02-11 03:05:53 
MD5 : 5DUMKWj6LodWj4C0xfPBIw== , nzn7vrwfBawAeL8nkayICg== 
RMD160 : ZlbmOf/bUWRLgilB5nVjhanuX9Q= , 
2e5S001BWqLq4Tnac4b6QIXRCwY= 

SHA256 : P/jVAKr/SO0epBBxvGP900nLXrRY9tnw , 





HhTqWgDyIkUDxAlX232ijmQ/OMA/kRgl 


File: /usr/bin/pstree 
Size : 20296 , 7030 

Ctime : 2012-02-10 13:02:18 , 2012-02-11 03:05:53 
MD5 : <NONE> , ry/MUZ7XvU4L2QfWJ4GXxg== 

RMD160 : <NONE> , tFZer6As9EoOi58K7/LgmeiExjU= 

SHA256 : <NONE> , iAsMkqNShagD4qe7dL/EwcgKTRzvKRSe 

Os arquivos listados pela verificaęao aide nesse exemplo estao infectados. Mas aide tambempode 
exibir muitos falsos positivos. 

O local onde os bancos de dados aide sao criados, as comparaęóes que sao feitas e varias outras 
configuraęóes sao tratadas no arquivo /etc/aide . conf. Eis urna exibięao parciał do arquivo. \foce 
pode ver os nomes do arquivo de banco de dados e os diretórios dos arquivos de log configurados aqui: 

# cat /etc/aide.conf 

# Example configuration file for AIDE. 

@@define DBDIR /var/lib/aide 
@@define LOGDIR /var/log/aide 

# The location of the database to be read. 
database=file:@@{DBDIR}/aide.db.gz 

# The location of the database to be written. 

#database_out=sql:host:port:database:login_name:passwd:table 
#database_out=file:aide.db.new 
database_out=file:@@{DBDIR}/aide.db.new.gz 

UmIDS pode ser urna grandę ajuda para monitorar o sistema. Pelo menos urna das ferramentas IDS deve 
fazer parte da fasę de Monitoramento do Ciclo de Vida do Processo de Seguranęa. 


Trabalhando na fasę de Auditoria/Ręyisao _ 

A fasę finał do Ciclo de Vida do Processo de Seguranęa e a fasę de Auditoria/Revisao. Nao só e 
importante que a seguranęa que esta sendo implementada siga politicas e procedimentos, mas que as 
politicas e procedimentos estejamcorretos. 

Ha dois termos importantes para serem reconhecidos nessa fasę. Urna revisao de conformidade e urna 
auditoria do ambiente geral do sistema de computador para garantir que as politicas e procedimentos 
determinados na fasę de pianej amento do Ciclo de Yida do Processo de Seguranęa estao sendo realizados 
corretamente. Os resultados da auditoria dessa revisao serviriam como feedbackna fasę de 
implementaęao. Urna revisao de seguranęa e urna auditoria das atuais politicas e procedimentos para 
assegurar que seguemas melhores praticas de seguranęa aceitas. Os resultados da auditoria dessa revisao 
serviriam como feedbackpara a fasę de pianej amento. 




Realizando revisóes de conformidade 

Semelhantes as auditorias em outros campos, como contabilidade, as auditorias podem ser realizadas 
internamente ou por pessoal externo. Essas revis5es podem ser tao simples como alguem sentando e 
comparando a seguranęa implementada coma matriz de controle de acesso e as politicas estabelecidas. 
Contudo, mais popular e realizar auditorias utilizando testes de penetraęao. 

Teste de penetraęao e um metodo de avaliaęao utilizado para testar a seguranęa de um sistema de 
computador simulando ataąues maliciosos. Ele tambem e chamado pen testing e hacking etico. \foce nao 
mais precisa reunir ferramentas e hackers da vizinhanęa local para ajudar a realizar esses testes. A 
seguir, estao as distribuięóes do Linux que voce pode usar para realizar testes de penetraęao bem 
completos: 

■ BackTrack (www.backtrack-linux.org) 

■ Distribuięao do Linux criada especificamente para testes de penetraęao 

■ Pode ser usado a partir de um Live DVD ou um pen drive 

■ Treinamento sobre o uso do BackTrack e oferecido por www. of f ensive-security. com 

■ Fedora Security Spin (http : //spins . fedoraproj ect. org/security) 

■ Tambem chamado “Fedora Security Lab” 

■ Parte da distribuięao do Fedora Linux 

■ Fornece um ambiente de teste para trabalhar a auditoria de seguranęa 

■ Pode ser usado a partir de um pen drive 

Embora o teste de penetraęao seja divertido, para urna revisao completa de conformidade, umpouco 
mais e necessario. \foce tambem deve usar listas de verificaęao dos sites do setor de seguranęa e a matriz 
de controle de acesso da fasę de Pianej amento do Ciclo de Yida do Processo de Seguranęa para auditorar 
seus servidores. 

Realizando revisóes de seguranęa 

Realizar urna revisao de seguranęa exige que voce conheęa as melhores praticas de seguranęa atuais. Ha 
varias maneiras de se manter informado sobre as melhores praticas de seguranęa. A seguir, e fornecida 
urna breve lista das organizaęóes que podemajuda-lo. 

■ United States Computer Emergency Readiness Team (CERT) 

■ URL: www.us-cert.gov 

■ Oferece o National Cyber Alert System 

■ Oferece feeds RSS sobre as ameaęas de seguranęa mais recentes 


The SANS Institute 



■ URL: www.sans.org/security-resources 

■ Oferece boletins da Computer Security Research 

■ Oferece feeds RSS sobre as ameaęas de seguranęa mais recentes 
■ Gibson Research Corporation 

■ URL: www.grc.com 

■ Oferece o netcast de seguranęa Security Now! 

As informaęóes fornecidas por esses sites irao ajuda-lo a criar politicas e procedimentos mais fortes. 
Dada a rapidez com que as melhores praticas de seguranęa mudam, e prudente realizar freąuentes 
revis5es de seguranęa, dependendo das necessidades de seguranęa da organizaęao. 

Agora, voce entende muito mais sobre a seguranęa basica no Linux. A parte dificil e realmente colocar 
todos esses conceitos em pratica. 


Resumo 


Entender o Ciclo de Yida do Processo de Seguranęa ira ajuda-lo bastante a proteger os valiosos ativos 
informacionais da sua organizaęao. Cada area do ciclo de vida, pianej amento, implementaęao, 
monitoramento e auditoria/revisao, tern informaęóes e atividades importantes. Embora o ciclo de vida 
talvez nao avance de forma ordenada na sua empresa, ainda e importante implementar o Ciclo de Yida do 
Processo de Seguranęa e suas fases. 

Na fasę de Pianej amento, escolhe-se o modelo de controle de acesso. As tres opęóes sao DAC, MAC e 
RBAC. DAC e o modelo padrao em todas as distribuięóes Linux. O modelo escolhido aqui influencia 
significativamente as demais fases do ciclo de vida. Amatriz de controle de acesso e criada nessa fasę. 
Essa matriz e usada emtodo o processo, como urna lista de verificaęao de seguranęa. 

Na fasę de implementaęao, na verdade voce implementa o modelo de controle de acesso escolhido 
usando as varias ferramentas disponiveis no Linux. Essa e a fasę em que a maioria das empresas 
tipicamente comeęa o Ciclo de Yida do Processo de Seguranęa. Atividades como gerenciamento de 
contas de usuarios, seguranęa de senhas e gerenciamento de software e servięos sao incluidas nessa fasę. 

A fasę de monitoramento pode ser mais demorada. Nela, voce observa os arquivos de log do sistema, 
verifica intrusdes maliciosas, monitora o sistema de arquivos etc. Ha muitas ferramentas disponiveis no 
Linux para ajuda-lo nessa fasę. 

Por firn, a fasę de auditoria/revisao completa o ciclo de vida. Nessa fasę, revis5es de conformidade e 
seguranęa sao conduzidas. Essas auditorias ajudama garantir que seu sistema Linux esta seguro e que as 
politicas e praticas adequadas de seguranęa estao corretas. 

Ybce completou a primeira etapa da coleta de conhecimento dos principios e procedimentos basicos de 
seguranęa. Nao e suficiente somente conhecer os principios basicos, voce precisa adicionar ferramentas 
avanęadas de seguranęa em Linux a sua caixa de ferramentas de seguranęa. No próximo capitulo, 
discutiremos os temas avanęados de seguranęa dos módulos de criptografia e autenticaęao. 




Exercicios 


Consulte o materiał neste capitulo para completar as tarefas a seguir. Se voce empacar, soluęóes para as 
tarefas sao mostradas no Apendice B (embora no Linux costume haver varias maneiras de fazer urna 
tarefa). Tente resolver cada umdos exercicios antes de consultar as respostas. Essas tarefas supdemąue 
voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem 
funcionem em outros sistemas Linux). 

L Apartir de umarquivo de log, crie urna lista dos servięos que foram iniciados no seu 
sistema durante inicializaęao do sistema. 

2 - Listę as permissóes no arquivo de senhas do sistema e determine se elas sao adequadas. 

3 - Determine o envelhecimento da senha da sua conta e se ela vai expirar usando umunico 
comando. 

4 - Inicie a auditoria de gravaę5es no arquivo /etc/shadow como daemon auditd e entao 
verifique as configuraęóes de auditoria 

5 - Crie umrelatório a partir do daemon auditd no arquivo /etc/shadow e desative a 
auditoria nesse arquivo. 

6 - Verifique um pacote de software instalado no seu sistema comparando-o com os metadados 
do pacote. 

7 - \foce suspeita que hoje houve um ataque malicioso ao seu sistema e os arquivos binarios 
importantes foram modificados. Que comando voce deve usar para encontrar esses arquivos 
modificados? 

8 - Instale e execute chkrootkit para ver se o ataque malicioso do exercicio acima instalou 
um rootkit. 

9 - Localize arquivos com a permissao SetUID configurada. 

10 - Localize arquivos com a permissao SetGID configurada. 




Entendendo a seguranęa avanęada do Linux 


CAPITUJ^ 


NESTE CAPITULO 

Entendendo hashing e criptografia 
Verificando a integridade do arquivo 
Criptografando arquivos, diretórios e sistemas de arquivos 
Entendendo os módulos de autenticaęao conectaveis 
Gerenciando a seguranęa do Linux com PAM 

Devido as crescentes ameaęas e sua constante mudanęa, implementar apenas a seguranęa basica de 
computador nao mais e suficiente. A medida que usuarios maliciosos ganhamacesso e conhecimento 
sobre ferramentas avanęadas, um administrador de sistemas Linux tambem deve ganhar. Entender os 
tópicos avanęados e as ferramentas de seguranęa de computadores precisa ser parte da sua preparaęao. 

Neste capitulo, voce aprendera os conceitos basicos de criptografia, como cifras e encriptaęao. \bce 
tambem aprendera como o utilitario módulo de autenticaęao pode simplificar as funęóes administrativas, 
mesmo sendo um tema avanęado de seguranęa. 


Implementando a seguranęa 
do Linuxcom criptografia 

Usar criptografia aumenta a seguranęa do sistema Linux e as comunicaęóes emrede. Criptografia e a 
ciencia de ocultar informaęóes. Ela tern urna longa e rica historia que remonta ha muito tempo antes de os 
computadores comeęarema ser utilizados. Por causa do uso pesado de algoritmos matematicos, a 
criptografia migrou facilmente para o ambiente de computador. O Linux vem com muitas ferramentas de 
criptografia prontas para uso. 

Para entender os conceitos criptograficos e as varias ferramentas do Linux, e importante conhecer alguns 
termos da criptografia. 


■ Texto simples — Texto que um humano ou urna maquina pode ler e compreender 




■ Texto cifrado — Texto que um humano ou urna maąuina nao podem ler e compreender 

■ Criptografia — O processo de converter texto simples em texto cifrado usando um algoritmo 

(tambem conhecida como encriptaęao) 

■ Descriptografia — O processo de converter texto cifrado em texto simples utilizando um algoritmo 

(tambem conhecida como decriptaęao) 

■ Cifra — O algoritmo usado para criptografar texto simples em texto cifrado e descriptografar texto 

cifrado em texto simples 

■ Cifra de bloco — Urna cifra que divide os dados emblocos antes da criptografia 

■ Cifra de fluxo — Urna cifra que criptografa os dados sem dividi-los 

■ Chave — Os dados exigidos pela cifra para criptografar ou descriptografar com sucesso os dados 

Os pais muitas vezes usamuma forma de criptografia. Eles soletramas palavras emvez de fala-las. Um 
pai poderia pegar a palavra em texto simples “doce” e transforma-la em texto cifrado dizendo a mae “D- 
O-C-E”. A mae decifra a palavra utilizando a mesma cifra soletrada, e reconhece que a palavra e “doce”. 
Infelizmente, nao demora muito para que as crianęas aprendam a decifrar por meio da cifra soletrada. 

\bce deve ter observado que o hash nao foi incluido na lista de definięao de criptografia anterior. O 
hashing precisa de atenęao especial, porque muitas vezes e confundido com criptografia. 

Entendendo o hashing 

Hashing nao e criptografia, mas urna forma de criptografia. Lembre-se do Capitulo 22 que hashing e um 
processo matematico unidirecional usado para criar um texto cifrado. Mas, ao contrario da criptografia, 
depois que umhash e criado, voce nao pode transforma-lo de volta ao texto simples original. 

Para que um algoritmo de hashing seja utilizado na seguranęa de computadores, ele precisa estar livre de 
colisao, o que significa que o algoritmo de hashing nao produz o mesmo hash para duas entradas 
totalmente diferentes. Cada entrada deve ter urna unica saida hasheada. Assim, o hashing criptografico e 
um processo matematico unidirecional que e livre de colisao. 

Por padrao, a criptografia ja esta emuso emumsistema Linux. Por exemplo, o arquivo /etc/shadow 
contem as senhas hasheadas. O hashing e usado em sistemas Linux para: 

■ Senhas (Capitulo 22) 

■ Verificar arquivos 

■ Assinaturas digitais 

■ Assinaturas de virus (Capitulo 22) 

Um hash tambem e chamado de resumo da mensagem, soma de verificaęao, impressao digital ou 
assinatura. Umutilitario do Linuxpara produzir resumos de mensagem e o md5sum. No Capitulo 10, 
“Obtendo e gerenciando softwares”, voce aprendeu a obter softwares para seu sistema Linux. Ao baixar 
um arquivo de software, voce pode certificar-se de que o arquivo nao foi corrompido no download. A 



Figura 23.1 mostra o site para baixar o software de distribuięao Linux Mint (tambem chamado ISO). A 
pagina web contem um numero Message Digest 5 (MD5) que voce pode usar para garantir que a imagem 
ISO que voce baixou nao foi corrompida durante o download. 



RA 23.1 


;ina Web Linux Mint ISO download fornece umnumero MD5. 


Um hash e produzido a partir de um arquivo de software na localizaęao original, usando o algoritmo de 
hash MD5. Os resultados do hash podem ser postados publicamente, como foi feito na Figura 23.1. Para 
garantir a integridade do arquivo de software baixado, voce cria um hash MD5 do arquivo de software na 
sua localizaęao e entao compara os resultados do hash com os resultados postados do hash. Se eles 
corresponderem, o arquivo de software nao foi corrompido durante o download. 

Para criar o hash, execute o algoritmo de hashing no seu sistema usando md5sum. Os resultados do hash 
md5sum para o arquivo de software baixado sao mostrados no código a seguir. 

$ md5sum linuxmint-12-gnome-cd-nocodecs-32bit.iso 

40562d26447207cb5111f94b93957a58 

linuxmint-12-gnome-cd-nocodecs-32bit.iso 

\bce pode ver que o hash resultante nao corresponde com aquele postado no site web na Figura 23.1. 

Isso significa que o arquivo ISO baixado nao foi corrompido e esta pronto para uso. 


męao 

ora o hashing MD5 seja suficiente para garantir que um arquivo de software baixado nao foi corrompido, o 
itmo nao e livre de colisao. Portanto, ele nao e mais considerado um verdadeiro hash criptografico. Para obter um 
criptografico real, voce vai precisar usar um dos hashes criptograficos - SHA-2 ou SHA-3 - discutidos mais 
ite, neste capitulo. 


\bce pode implementar ainda mais criptografia alem de hashing no sistema Linux. Os utilitarios do Linux 
para fazer isso sao muito faceis de usar. Mas primeiro voce precisa entender alguns outros conceitos 
criptograficos subjacentes. 

Entendendocriptografia/decriptografia 

O principal uso da criptografia em um sistema Linux e codificar os dados para oculta-los (criptografia) 
de olhos nao autorizados e, entao, descodificar os dados (descriptografia) para olhos autorizados. Emum 
sistema Linux, voce pode criptografar: 

■ Arquivos individuais 

■ Partięóes e volumes 

■ Conex5es a paginas web 







■ Conex5es de rede 


■ Backups 

■ Arquivos Zip 

Esses processos de criptografia/decriptografia usam algoritmos matematicos especiais para realizar as 
respectivas tarefas. Os algoritmos sao chamados cifras criptograficas. 

Entendendo as cifras criptograficas 

Uma das cifras originais, chamada cifra de Cesar, foi criada e usada por Julio Cesar. Mas ela era muito 
facil de ąuebrar. Hoje, ha cifras muito mais seguras disponiveis. Entender como cada cifra fund ona e 
importante, porque a foręa da cifra que voce escolhe deve se relacionar diretamente com as necessidades 
de seguranęa dos seus dados. A Tabela 23.1 lista algumas cifras modernas. 

TABELA 23.1 Cifras de Criptografia 


thod 

Descrięao 

S (Advanced Encryption Standard), tambem 

Criptografia simetrica 

imado Rijndael 

Cifra de bloco, criptografa os dados emblocos de 128,192 ou 256bits usando uma 
chave de 128,192 ou 256bits para criptografar/descriptografar. 

iwfish 

Criptografia simetrica 

Cifra de bloco, criptografia de dados emblocos de 64bits usando as mesmas 
chaves de 32 a 448bits para criptografia/descriptografia. 

ST 5 

Criptografia simetrica 

Cifra de bloco, criptografa os dados emblocos de 64bits usando a mesma chave 
de 128bits para criptografar/descriptografar. 

S (Data Encryption Standard) 

Nao mais considerado seguro 

Criptografia simetrica. 

Cifra de bloco, criptografa os dados em blocos de 64 bits 
usando a mesma chave de 56 bits para 
criptografia/descriptografia. 

ES 

Cifra DES aprimorada 

Criptografia simetrica. 

Os dados sao codificados ate 48 vezes com 3 diferentes 
chaves de 56 bits antes de o processo de criptografia estar 
conclurdo. 

Eamal 

Criptografia as simetrica 

Utiiiza duas chaves derivadas de umalgoritmo de logaritmo. 

ptic Curve Cryptosystems 

Criptografia as simetrica 

Utiiiza duas chaves derivadas de umalgoritmo que contemdois pontos escolhidos 
aleatoriamente emuma curva elfptica. 


iA 


Criptografia simetrica 













Cifra de bloco, criptografa os dados emblocos de 64bits usando a mesma chave 
de 128 bits para criptografia/descriptografia. 

4 tambem chamado ArcFour ou ARC4 

Cifra de fluxo, criptografa os dados em blocos de 64 bits 
usando um tamanho variavel de chave para 
criptografia/decriptografia. 

5 

Criptografia simetrica 

Cifra de bloco, criptografa os dados emblocos de 32, 64 ou 128 bits usando as 
mesmas chaves de ate 2048 bits para criptografia/descriptografia. 

6 

Criptografia simetrica 

0 mesmo que RC5, mas umpouco mais rapido. 

ndael (tambem chamado AES) 

Criptografia simetrica 

Cifra de bloco, criptografia de dados emblocos de 128,192 ou 256 bits usando urna 
chave de 128,192 ou 256 bits para criptografar/desciiptografar. 

A 

Criptografia assimetrica mais popular 

Utiiiza duas chaves derivadas de umalgoritmo que contemummultiplo de dois 
numeros primos gerados aleatoriamente. 


Entendendo chaves de cifra criptografica 

Cifras criptograficas exigem um dado, chamado chave, para completar o processo matematico de 
criptografia/descriptografia. Achave pode ser urna unica chave ouumpar de chaves. 

Observe os diferentes tamanhos de chave de cifra listados na Tabela 23.1. O tamanho da chave esta 
diretamente relacionado com a facilidade com que a cifra e ąuebrada. Quanto maior o tamanho da chave, 
menor a chance de ąuebrar a cifra. Por exemplo, o DES nao mais e considerado seguro devido ao seu 
peąueno tamanho de chave de 56 bits. Mas urna cifra com um tamanho de chave de 256 bits e considerada 
segura porque levaria trilhóes de anos para quebrar na foręa bruta urna cifra tao codificada. 

Criptografia de chave simetrica 

Acriptografia simetrica, tambem chamada de chave secreta ou criptografia de chave privada, 
criptografa texto simples usando urna cifra codificada urna unica vez. A mesma chave e necessaria a firn 
de descriptografar os dados. Avantagemda criptografia de chave simetrica e a velocidade. A 
desvantagem e a necessidade de compartilhar a chave unica quando os dados criptografados precisarem 
ser descriptografados por outra pessoa. 

Um exemplo de criptografia de chave simetrica em um sistema Linux e o uso do utilitario OpenPGP, GNU 
Privacy Guard, gpg. O exemplo a seguir mostra o utilitario gpg usado para criptografar o arquivo 
Secret.File. Com a opęao -c, o gpg criptografa o arquivo com urna chave simetrica. O arquivo 
original e mantido e umnovo arquivo criptografado, Secret. File . gpg, e criado. 

$ cat Secret.File 

This is my secret message. 

$ 

$ gpg -c Secret.File 

Enter passphrase: 

Repeat passphrase: 

$ 



$ ls Secret.File.gpg 

Secret.File.gpg 
$ 

$ ls Secret.File 

Secret.File 

A chave unica usada para criptografar o arquivo e protegida por urna senha. Essa passphrase e 
simplesmente urna senha ou frase escolhida pelo usuario no momento da criptografia. 

Para descriptografar o arquivo, o utilitario gpg e usado novamente. O usuario deve usar a opęao -de 
fornecer a senha para a chave secreta. 

$ gpg -d Secret.File.gpg 

gpg: CAST5 encrypted data 

gpg: encrypted with 1 passphrase 

This is my secret message. 


A criptografia de chave simetrica e bastante simples e facil de entender. A criptografia assimetrica e 
muito mais complicada e muitas vezes e um ponto de confusao em criptografia. 

Criptografia de chave assimetrica 

A criptografia assimetrica, tambem chamada de criptografia de chave privada/publica, utiliza duas 
chaves, chamadas par de chaves. Umpar de chaves consiste emuma chave publica e urna chave privada. 
A chave publica e exatamente isso, publica. Nao ha necessidade de mante-la em segredo. Ja a chave 
privada precisa ser mantida em segredo. 

Aideia geral da criptografia de chave assimetrica e mostrada na Figura 23.2. Umarquivo de texto 
simples e criptografado utilizando urna chave publica de umpar de chaves. O arquivo criptografado 
entao pode ser transmitido com seguranęa a outra pessoa. Para descriptografar o arquivo, a chave 
privada e utilizada. Essa chave privada deve vir do par de chaves publica/privada. Portanto, os dados 
que foram criptografados com a chave publica só podem ser descriptografados com a chave privada. A 
vantagem da criptografia assimetrica e a maior seguranęa. A desvantagem e a yelocidade e o 
gerenciamento de chaves. 
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3grafia basica de chave assimetrica. 


\foce pode executar a criptografia assimetrica no sistema Linux usando gpg. Ele e um utilitario de 
criptografia muito versatil. Antes que possa criptografar umarquivo, voce deve primeiro criar o par de 
chaves e um “chaveiro”. No exemplo a seguir, o comando gpg --gen-key foi usado. Esse comando 
cria umpar de chaves publica/privada para o usuario j ohndoe, de acordo comas especificaęóes 
desejadas. Ele tambemvai gerar umanel de chaves para armazena-las. 

$ gpg --gen-key 

gpg (GnuPG) 1.4.12; Copyright (C) 

2012 Free Software Foundation, Inc. 




gpg: directory '/home/johndoe/.gnupg' created 

gpg: new configuration file 

'/hoine/ johndoe / .gnupg/gpg. ccnf' created 

gpg: keyring '/home/johndoe/.gnupg/secring.gpg' created 
gpg: keyring '/home/johndoe/.gnupg/pubring.gpg' created 
Please select what kind of key you want: 

(1) RSA and RSA (default) 

(2) DSA and Elganal 

(3) DSA (sign only) 

(4) RSA (sign only) 

Your selection? 1 

RSA keys may be between 1024 and 4096 bits long. 

What keysize do you want? (2048) 

Reąuested keysize is 2048 bits 

Please specify how long the key should be valid. 

0 = key does not expire 
<n> = key expires in n days 
<n>w = key expires in n weeks 
<n>m = key expires in n months 
<n>y = key expires in n years 
Key is valid for? (0) 7 

Key expires at Mon 05 Mar 2015 03:55:29 AM EST 
Is this correct? (y/N) y 

You need a \iser ID to identify your key; 

the software constructs the user ID 
from the Real Name, Comnent and Email Address in this form: 

"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" 

Real name: John Doe 

Email address: 3 d 0 e@gnail.com 

Comment: The User 

You selected this USER-ID: 

"John Dce (The User) <jdoe@gmail.com>" 

Change (N)ame, (C)onnent, (E)mail or (0)kay/(Q)uit? 0 

You need a Passphrase to protect your secret key. 

Enter passphrase: 

Repeat passphrase: 

gpg: /home/johndoe/.gnupg/trustdb.gpg: trustdb created 
gpg: key 3B2E46D5 marked as ultimately trusted 
upublic and secret key created and signed. 

pub 2048R/3B2E46D5 2015-02-27 [expires: 2015-03-05] 

Key fingerprint = £202 8E43 3784 69EF 118B 
275C BA45 7DBF 3B2E 46D5 

uid John Dce (The User) <jdce@gmail.com> 

sub 2048R/0F0E0672 2015-02-27 [expires: 2015-03-05] 

No exemplo anterior, o utilitario gpg solicita diversas especificaęóes para gerar o par desejado de 
chaves publica/privada: 

■ Cifra de criptografia — O RSA foi escolhido no exemplo. 

■ Tamanho em bits — Umtamanho maior de chave fornece maior seguranęa. 

■ Periodo de validade — Sete dias foram escolhidos no exemplo. 

■ User ID — Identifica a parte publica do par de chaves publicas/privadas. 

■ Senha — Usada para identificar e proteger a parte priyada do par de chaves publica/privada. 




jnęao 

fcil, se nao impossivel matematicamente, derivar a chave privada a partir da chave publica. Mas uma possfvel 
irabilidade foi descoberta recentemente. Um par de chaves e gerado utilizando dois numeros primos aleatórios. A 
e que nao ha dois pares de chaves identicos. Pesquisadores de seguranęa descobriram que os numeros 
tórios gerados nao sao tao aleatórios. Assim, ha a possibilidade de haver o mesmo par de chaves que outra 
oa na internet ja possui. Se compartilhar o mesmo par de chaves, voce tera a capacidade de descriptografar as 
sagens criptografadas deles com a chave publica usando sua chave privada. Portanto, voce deve, no rmnimo, 
aro tamanho de chave de 2048 bits para reduzira possibilidade dessa potencial situaęao. 


O usuario j ohndoe pode verificar o chaveiro usando o comando gpg --list-keys, como 
mostrado no código a seguir. Observe que o User ID (UID) da chave publica e mostrado da maneira 
como foi criado, contendo o nome verdadeiro, umcomentario e o e-mail j ohndoe. 

$ gpg --list-keys 

/home/johndoe/.gnupg/pubring.gpg 


pub 2048R/3B2E46D5 2015-02-27 [expires: 2015-03-05] 
uid John Doe (The User) <jdoe@gmail.com> 

sub 2048R/0F0E0672 2015-02-27 [expires: 2015-03-05] 

Depois que o par de chaves e o chaveiro sao gerados, os arquivos podem ser criptografados e 
decriptografados. Primeiro, a chave publica deve ser extraida do chaveiro para poder ser compartilhada. 
No exemplo a seguir, o utilitario gpg e usado para extrair a chave publica do chaveiro de j ohndoe. A 
chave extraida e colocada em um arquivo para ser compartilhada. O nome do arquivo pode ser qual voce 
quiser. Nesse caso, o usuario j ohndoe escolheu o nome de arquivo JohnDoe . pub. 

$ gpg --export John Doe > JohnDoe.pub 
$ ls *.pub 

JohnDoe.pub 

O arquivo contendo a chave publica pode ser compartilhado de varias maneiras. Ele pode ser emtiado 
como um anexo via e-mail ou ate mesmo publicado em uma pagina web. A chave publica e considerada 
publica, por isso, nao ha necessidade de oculta-la. No exemplo a seguir, j ohndoe deu o arquivo que 
contem sua chave publica para a usuaria christineb. Ela adiciona a chave publica de j ohndoe ao 
seuchaveiro, usando o comando gpg --import. Ausuaria christineb verifica se a chave publica 
de j ohndoe foi adicionada usando o comando gpg --list-keys para ver seu chaveiro. 


$ ls *.pub 

JohnDoe.pub 







$ gpg —import JohnDoe.pub 

gpg: directory '/home/christineb/.gnupg' created 


gpg: key 3B2E46D5: 

public key "John Doe (The User) <jdce@gmail.com>" imported 
gpg: Total number processed: 1 
gpg: imported: 1 (RSA: 1) 

£ 

$ gpg —list-keys 

/hcme/chri3tir.eb/ .gr.upg/pubring.gpg 


pub 204SR/3B2E46D5 2015-02-27 [expires: 2015-03-05] 
uid John Doe (The User) <jdoeSgmail.com> 

sub 2048R/0F0E0672 2015-02-27 [expires: 2015-03-05] 

Depois que a chave e adicionada ao chaveiro, essa chave publica pode ser usada para criptografar os 
dados para o proprietario original dela. No código de exemplo a seguir, observe o seguinte: 

■ christineb criouumarquivo de texto MessageFor John . txt para o usuario j ohndoe. 

■ Ela criptografa o arquivo usando a chave publica de/e. 

■ O arquivo criptografado, MessageFor John, e criado pela opęao --out. 

■ A opęao --recipient identifica a chave publica de j ohndoe usando apenas a parte do nome 

real do UID da sua chave publica entre aspas, "John Doe". 

$ gpg --out MessageForJohn --recipient "John Doe" 

--encrypt MessageForJohn.txt 

$ ls 

JohnDoe.pub MessageForJohn MessageForJohn.txt 

O arquivo criptografado da mensagem, MessageFor John, criado a partir do arquivo de texto simples, 
MessageFor John . txt, pode ser enviado seguramente para o usuario j ohndoe. Para decriptografar 
essa mensagem, j ohndoe usara a chave privada dele, identificada e protegida pela senha secreta usada 
originalmente para criar a chave. Depois que j ohndoe fornece a senha apropriada, gpg decriptografa o 
arquivo da mensageme o coloca no arquivo ChristinesMessage, designado pela opęao -- out. 
Depois de decriptografada, ele podera ler a mensagem de texto simples. 

$ ls MessageForJohn 

MessageForJohn 
$ 

$ gpg --out ChristinesMessage --decrypt MessageForJohn 

You need a passphrase to unlock the secret key for 
user: "John Doe (The User) <jdoe@gmail.com>" 

2048-bit RSA key, ID 0F0E0672, created 2015-02-27 

(main key ID 3B2E46D5) 

gpg: encrypted with 2048-bit RSA key, ID 0F0E0672, 
created 2015-02-27 

"John Doe (The User) <jdoe@gmail.com>" 




$ 

$ cat ChristinesMessage 

I know you are not the real John Doe. 

Para revisar, os passos necessarios para criptografar/decriptografar os arquivos usando chaves 
assimetricas sao os seguintes: 

x - Gerar o par de chaves e o chaveiro. 

2 - Exportar urna cópia da sua chave publica para um arquivo. 

3 - Compartilhar o arquivo de chave publica. 

4 - Individuos que quiseremenviar-lhe arquivos criptografados adicionam sua chave 
publica (a que voce criou para voce mesmo) ao chaveiro deles. 

5 - Um arquivo e criptografado usando sua chave publica. 

6 - O arquivo criptografado e enviado para voce. 

7 - Voce decriptografa o arquivo com sua chave privada. 

\bce pode ver por que as chaves assimetricas podem causar confusao! Lembre-se de que na criptografia 
assimetrica cada par de chave publica/chave privada e umconjunto que funciona integradamente. 

Entendendo assinaturas digitais 

Urna assinatura digital e um comprovante eletronico utilizado para verificaęao e autenticaęao de dados. 
Urna assinatura digital nao e urna verificaęao da sua assinatura fisica. Emvez disso, ela e umtoken 
criptografico enviado com um arquivo para que o receptor do arquivo possa ter certeza de que o arquivo 
veio de voce e nao foi modificado de nenhuma maneira. 

Ao criar urna assinatura digital, ocorremas seguintes etapas: 

x - Voce cria um arquivo ou urna mensagem. 

2 - Usando o utilitario gpg, voce cria um hash ou um resumo de mensagem do arquivo. 

3 - O utilitario gpg entao criptografa o hash e o arquivo usando urna cifra de chave 
assimetrica. Para a criptografia, a chave privada do par de chaves publica/privada e 
utilizada. Isso agora e umarquivo criptografado digitalmente assinado. 

4 - Voce envia o hash criptografado (conhecido como assinatura digital) e o arquivo para o 
receptor. 

5 - O receptor recria o hash ou resumo da mensagem do arquivo criptografado recebido. 

6 - Com o utilitario gpg, o receptor decriptografa a assinatura digital recebida usando a 
chave publica para obter o hash original ou resumo de mensagem. 

7 - O utilitario gpg compara o hash original com o hash recriado para ver se eles 
correspondem. Se corresponderem, o receptor e informado de que a assinatura digital e 
boa. 

8 - O receptor agora pode ler o arquivo de criptografado. 



Observe no Passo 3 que a chave privada e utilizada em primeiro lugar. Na descrięao da criptografia de 
chave assimetrica, a chave publica foi utilizada em primeiro lugar. A criptografia de chave assimetrica e 
flexivel o suficiente para permitir que voce use sua própria chave privada para criptografar e o receptor 
use a chave publica que voce criou para decriptografar. 


ta 

laturas digitais tem suas próprias cifras especiais. Embora varias cifras possam lidar com a criptografia e criaęao 
assinaturas, ha algumas cuja unica funęao e criarassinaturas digitais. As cifras criptograficas mais populares para 
ao criar assinaturas sao RSA e Digital Signature Algorithm (DSA). 0 algoritmo RSA pode ser utilizado para 
ografare criarassinaturas, enquantoo DSA só pode ser utilizado para criar Digital Signatures. 


Como voce pode ver, urna assinatura digital contem o hash criptografico e a criptografia de chave 
assimetrica. Esse processo complicado e frequentemente tratado por um aplicativo que foi configurado 
para fazer isso, em vez de tratado diretamente pelos usuarios do sistema Linux. Mas voce pode adicionar 
manualmente suas próprias assinaturas digitais a documentos. 

Digamos que o usuario j ohndoe enviara urna mensagempara a usuaria christineb, juntamente com 
sua assinatura digital. Ele criou um arquivo de texto simples contendo a mensagem a enviar. Ele usa o 
utilitario gpg para criar o arquivo de assinatura e criptografar o arquivo de mensagem Aopęao -- 
sign informa o utilitario gpg que MessageForChristine . txt e o arquivo que deve ser 
criptografado e usado para criar a assinatura digital. Emresposta, o utilitario gpg: 

■ Cria um resumo de mensagem (conhecido como hash) do arquivo de mensagem 

■ Criptografa o resumo da mensagem, o que cria a assinatura digital 

■ Criptografa o arquivo de mensagem 

■ Armazena o conteudo criptografado no arquivo especificado pela opęao --output, 

JohnDoe.DS 

O arquivo JohnDoe . DS agora contem urna mensagem criptografada e assinada digitalmente. O código a 
seguir demonstra esse processo: 

$ gpg --output JohnDoe.DS --sign MessageForChristine.txt 

You need a passphrase to unlock the secret key for 
user: "John Doe (The User) <jdoe@gmail.com>" 

2048-bit RSA key, ID 3B2E46D5, created 2015-02-27 

Depois que a usuaria christineb recebe o arquivo assinado e criptografado, ela pode usar o utilitario 
gpg para verificar a assinatura digital e decriptografar o arquivo em urna unica etapa. No código a 
seguir, a opęao --decrypt e usada juntamente como nome do arquivo assinado digitalmente, 
JohnDoe . DS. A mensagem do arquivo e decriptografada e mostrada. A assinatura digital do arquivo e 
yerificada e e valida. 






$ gpg --decrypt JohnDoe.DS 

I am the real John Doe! 

gpg: Signature madę Mon 27 Feb 2015 09:42:36 AM EST 
using RSA key ID 3B2E46D5 

gpg: Good signature from "John Doe (The User) <jdoe@gmail.com>" 


Sema chave publica de j ohndoe no chaveiro dela, christineb nao seria capaz de decriptografar 
essa mensageme verificar a assinatura digital. 


ia 

emplo anteriorde assinatura digital de um documento permite que qualquer pessoa com a chave publica consiga 
iptografar o documento. A firn de mante-lo realmente privado, use a chave publica do destinatario para 
ografar com as opęóes de gpg: --sign e --encrypt. 0 destinatario pode decriptografar com a chave 
da. 


Entender alguns principios basicos de criptografia ira ajuda-lo a comeęar a proteger seu sistema Linux 
com criptografia. Tenha em mente que só discutimos os principios basicos neste capitulo. Ha varios 
outros aspectos da criptografia, como certificados digitais e infraestrutura de chave publica, que sao 
importantes entender. 

Implementando a criptografia no Linux 

Muitas ferramentas de criptografia estao disponiveis no sistema Linux. Aquelas que voce opta por usar 
dependem dos requisitos de seguranęa da organizaęao. A seguir, fazemos urna resenha de algumas das 
ferramentas de criptografia disponiveis no Linux. 

Garantindo a integridade dos arquivos 

No inicio deste capitulo, a integridade de umarquivo ISO foi verificada como utilitario de resumo de 
mensagemmd5sum. Aoutra ferramenta mais popular de resumo de mensageme urna que usa o hash 
SHA-1, shalsum. Ele funciona de forma identica ao utilitario de linha de comando md5sum, como 
mostrado no código a seguir. Se umarquivo ISO tiver umhash SHA-1 listado, emvez de urna soma de 
verificaęao MD5, voce pode usar o seguinte para verificar o hash. 

$ shalsum Fedora-16-i686-Live-Desktop.iso 
791f2677c7ac03ccacde3e26df50a36a277d3bf0 

Fedora-16-i68 6-Live-Desktop.iso 

Infelizmente, desde 2005, o padrao de hash SHA-1 nao e mais considerado umhash criptografico devido 
a algumas “fraquezas matematicas”. Mas, como ocorre como MD5, isso nao diminuiu sua popularidade 
para yerificaęao de integridade de arquivos. 






Se sua organizaęao especifica exigir um utilitario de hash criptografico real, voce 
precisara usar uma das ferramentas de hash criptografico SHA-2. No Linux, estas 
incluem: 

■ sha224sum 

■ sha256sum 

■ sha384sum 

■ sha512sum 

Essas ferramentas funcionam como o comando shal sum, exceto, naturalmente, que usamo padrao de 
hash criptografico SHA-2. Aunica diferenęa entre as varias ferramentas SHA-2 e o tamanho de chave 
que elas usam O comando sha22 4sum utiliza um tamanho de chave de 224 bits, o comando 
sha2 5 6sum utiliza um tamanho de chave de 256 bits etc. Lembre-se de que quanto maior o tamanho da 
chave, menor a chance de quebrar a cifra. 

O padrao de hash criptografico SHA-2 foi criado pela National Security Agency (NSA). ANSA ja tern 
outro padrao de hash criptografico que sera lanęado embreve, o SHA-3. 

Criptografando um sistema de arquivos Linux 

Talvez voce precise criptografar todo um sistema de arquivos no servidor Linux. Isso pode ser feito de 
varias maneiras diferentes, incluindo o uso de uma ferramenta FOSS (Free and Open Source Software), 
como o TrueCrypt, www. truecrypt. org. 

Uma das suas opęóes no Finux e criptografar sua partięao raiz na instalaęao (ver Capitulo 9, “Instalando 
o Finux”). Muitas distribuięóes Finux incluem uma opęao de criptografia durante o processo de 
instalaęao. A Figura 23.3 mostra a opęao de criptografia durante uma instalaęao do Fedora. 



a 23.3 


:ao de criptografia na instalaęao do Linux Fedora. 


Depois de selecionar essa opęao durante a instalaęao, voce sera solicitado a fornecer urna senha. Essa e 
a criptografia de chave simetrica comuma senha protegendo a chave unica. A Figura 23.3 mostra a 
instalaęao solicitando a senha da chave. A senha deve ter pelo menos oito caracteres. 




a 23.4 


ha de criptografia de chave simetrica do Linux Fedora. 


Se selecionar essa opęao de criptografia, sempre que iniciar o sistema, voce sera solicitado a fornecer a 
senha da chave simetrica. A Figura 23.5 mostra como ela aparece. Isso protege a partięao raiz, caso o 
disco em que ela reside for roubado. 




a 23.5 


itando a senha da chave de criptografia simetrica na inicializaęao. 


Se voce herdar um sistema com um disco criptografado, usando privilegios de root, podera usar os 
comandos lvs e cryptsetup e o arquivo /etc/crypttab para ajuda-lo. A seguir, o comando 
lvs mostra todos os volumes lógicos atuais no sistema e seus nomes de dispositivo subjacentes. Veja no 
Capitulo 12, “Gerenciando discos e sistemas de arquivos”, uma revisao do comando lvs. 

# lvs -o devices 

Devices 

/dev/mapper/luks-bO 99fbbe-0e5 6-425f-91a6-4 4f12 9db9f4b(56) 

/dev/mapper/luks-bO 99fbbe-0e5 6-425f-91a6-4 4f12 9db9f4b(0) 

Nesse sistema, observe que os nomes de dispositivo subjacentes comeęamcom luks. Isso indica que o 
padrao Linux Unified Key Setup (LUKS) para criptografia de disco rigido foi usado. Para obter mais 
informaęóes sobre o LUKS, consulte a pagina inicial do LUKS em 

http://codę.google.com/p/cryptsetup. 


ta 

luntu nao vem com o comando lvs instalado por padrao. Para instala-lo, digite sudo apt-get install 
l2 na linha de comando. 


Os volumes lógicos criptografados sao montados na inicializaęao usando as informaęóes do arquivo 
/etc/crypttab, como mostrado no código a seguir. Observe que os nomes luks sao os mesmos que 
os listados pelo comando lvs no exemplo anterior. 

# cat /etc/crypttab 

luks-bO 99fbbe-0e5 6-425f-91a6-44f12 9db9f4b 

UUID=bO99fbbe-0e5 6-42 5f-91a6-4 4f129db9f4b nonę 

\foce tambempode usar o comando cryptsetup para ajuda-lo a descobrir mais informaęóes sobre os 
volumes criptografados do seu sistema Linux. No exemplo a seguir, a opęao status e usada junto com 
o nome do dispositivo luks para determinar informaęóes adicionais. 

# cryptsetup status Iuks-b099fbbe-0e56-425f-91a6-44f129db9f4b 

/dev/napper/luks-bO 99fbbe-0e56-425f-91a6-44f12 9ćb9f4b 

is active and is in use. 
type: LUKS1 

cipher: aes-xts-plain64 

keysize: 512 bits 
aevice: /dev/sda3 

offset: 4096 sectors 

size: 15742976 sectors 

modę: read/write 







Criptografando um diretório do Linux 

\bce tambempode usar o utilitario ecryptf s para criptografar emumsistema Linux. O utilitario 
ecryptf s nao e umtipo de sistema de arquivos, como o nome indica. Emvez disso, ele e um utilitario 
compativel com POSIX que permite criar urna camada de criptografia sobre qualquer sistema de 
arquivos. 

O utilitario ecryptf s nao e instalado por padrao emum sistema Linux Fedora ou RHEL. \bce precisa 
usar o comando yum install ecryptfs-utils.Seele nao estiver instalado emumsistema 

Debian, use o comando sudo apt-get install ecrypt-utils. 


:a 

o o utilitario ecryptf s e usado para a criptografia, um erro comum e colocar a letra n depois da letra e na 
xe ecryptf s. Se voce receber um erro ao usar os utilitarios ecryptf s, certifique-se de que nao utilizou a 
xe encryptf s porengano. 


No exemplo a seguir, o usuario j ohndoe tera um subdiretório criptografado usando o utilitario 
ecryptf s. Primeiro, nao deve haver atualmente arquivos no diretório antes de ele ser criptografado. 
Se houver arquivos localizados ai, mova-os para um lugar seguro ate que a criptografia tenha sido 
concluida. Se nao move-los, voce nao sera capaz de acessa-los enquanto o diretório estiver sendo 
criptografado. 

Agora, para criptografar o diretório /home/j ohndoe/Secret, use o comando mount. Examine o 
comando mount usado no exemplo a seguir. Ele e umpouco parecido como comando mount normal, 
exceto que o tipo de partięao usado seja ecryptf s. O itema montar e seuponto de montagemestao no 
mesmo diretório! \foce literalmente criptografa o diretório e monta-o no próprio diretório. O outro item 
incomum sobre esse comando mount e que ele inicializa o utilitario ecryptf s, que faz algumas 
perguntas interativas. 

# mount -t ecryptfs /home/johndoe/Secret /home/johndoe/Secret 

Select key type to use for newly created files: 

1) tspi 

2) passphrase 

3) pkcsll-helper 

4) openssl 

Selection: 2 

Passphrase: 

Select cipher: 


1) 

aes: blocksize 

= 16; 




min 

keysize 

= 16; 

max keysize = 

32 

(loaded) 

2) 

blowfish: 

blocksize = 16; 




min 

keysize 

= 16; 

max keysize = 

56 

(not 

loaded) 

3) 

des3 ede: 

blocksize = 8; 




min 

keysize 

= 24; 

max keysize = 

24 

(not 

loaded) 






32 (not loaded) 


4) twofish: blocksize = 16; 
min keysize = 16; max keysize = 

5) cast6: blocksize = 16; 
min keysize = 16; max keysize = 32 (not loaded) 

6) cast5: blocksize = 8; 

min keysize = 5; max keysize = 16 (not loaded) 

Selection [aes]: 1 

Select key bytes: 

1) 16 

2) 32 

3) 24 

Selection [16] : 

Enable plaintext passthrough (y/n) [n]: 

Enable filename encryption (y/n) [n]: 

Attempting to mount with the following options: 
ecryptfs unlink sigs 
ecryptfs_key_bytes=l6 
ecryptfs_cipher=aes 
ecryptfs_sig=7 0993b8d49610e67 

WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt] 
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong. 

Would you like to proceed with the mount (yes/no)? : yes 

Would you like to append sig [70993b8d49610e67] to 
[/root/.ecryptfs/sig-cache.txt] 

in order to avoid this warning in the futurę (yes/no)? : yes 

Successfully appended new sig to user sig cache file 
Mounted eCryptfs 

O utilitario ecryptfs permite que voce escolha o seguinte: 

■ Tipo de chave 

■ Senha 

■ Cifra 

■ Tamanho da chave (em bytes) 

■ Ativar ou desativar o texto simples a enviar 

■ Ativar ou desativar a criptografia do nome de arquivo 

Ele tambem avisa quando voce monta esse diretório criptografado pela primeira vez porque a chave nao 
foi usada antes. O utilitario permite aplicar urna assinatura digital ao diretório montado de modo que, se 



voce usar mount novamente, ele só montara o diretório e nao exigira urna senha. 


a 

boa ideia seria anotar as seleęóes que voce faz ao montar inicialmente uma pasta ecryptf s. Voce precisara 
eleęóes exatas que escolheu na próxima vez que remontara pasta. 


Para verificar se o diretório criptografado esta agora montado, use o comando mount novamente. No 
exemplo a seguir, o comando mount e usado e entao redirecionado para grep a fimde pesąuisar o 
diretório /home/j ohndoe/Secret. Como voce pode ver, o diretório e montado comumtipo de 

ecryptf s. 

# mount | grep /home/johndoe/Secret 

/home/johndoe/Secret on /home/johndoe/Secret type ecryptfs 
(rw,relatime,ecryptfs_sig=70993b8d49610e67,ecryptfs_cipher=aes, 
ecryptfs_key_bytes=l6,ecryptfs_unlink_sigs) 

Ate agora, voce ainda nao tinha visto os efeitos desse diretório montado e criptografado. No texto a 
seguir, o arquivo my_secret_f ile e copiado para a pasta criptografada. O usuario j ohndoe ainda 
pode usar o comando cat para exibir o arquivo emtexto simples. O arquivo e decriptografado 
automaticamente pela camada ecryptf s. 

$ cp my_secret_file Secret 
$ cat /home/johndoe/Secret/my_secret_file 

Shh... It's a secret. 

O usuario root tambempode usar o comando cat para exibir o arquivo emtexto simples. 

# cat /home/johndoe/Secret/my_secret_file 

Shh... It's a secret. 

Mas depois que o diretório criptografado e desmontado usando o comando umount, os arquivos nao sao 
mais automaticamente decriptografados. O arquivo my secret f ile agora nao e util e nao e capaz 
de ser lido, nem pelo usuario root. 

# umount /home/johndoe/Secret 

# 

# cat /home/johndoe/Secret/my_secret_file 

#d-6 XI 0#### #####"3DUfw' #Qqg y+ 4 #W #_C0NS0LEp ; lag "L 


Assim, o utilitario ecryptf s permitira criar umlocal no sistema de arquivos para criptografar e 
decriptografar arquivos rapidamente. Mas depois que o diretório nao esta mais montado como umtipo de 






ecryptf s, os arquivos estao seguros e nao podem ser decriptografados. 


Criptografando um arquivo do Linux 

A ferramenta mais popular para criptografar arquivos em um sistema Linux e um utilitario OpenPGP, o 
GNU Privacy Guard, ou gpg. Sua flexibilidade e variedade de opęóes, juntamente com o fato de ser 
instalado por padrao na maioria das distribuięóes do Linux, contribuem para sua popularidade. 


inęao 

ua organizaęao usar uma empresa terceirizada de armazenamento em nuvem, voce precisara entender que 
mas dessas empresas, como a DropBox, só criptografam os arquivos depois que eles sao recebidos. Isso 
fica que a empresa tern as chaves necessarias para decriptografar os arquivos e pode deixar os dados da sua 
nizaęao vulneraveis. Criptografar os arquivos no seu sistema Linux antes de eles serem enviados para o 
izenamento em nuvem adicionara uma camada extra de proteęao necessaria. 


Mas ha varias outras ferramentas de criptografia que voce pode usar em um sistema Linux para 
criptografar os arquivos. E, assimcomo o gpg, muitas dessas ferramentas permitem fazer muito mais do 
que apenas criptografar arquivos. A seguir estao algumas das ferramentas populares de criptografia do 
Linux que voce pode usar para criptografar arquivos: 

■aescryptUsa o software de cifra de chave simetrica Rijndael, tambem chamado AES. Essa 
ferramenta FOSS de terceiros esta dispomvel para download em www. aescript. com. 

■bcryptEssa ferramenta usa a cifra de chave simetrica blowfish. Ele nao e instalado por padrao. 
Depois que bcrypt esta instalado, as paginas mantornam-se disponiveis. 

■ Para o Fedora e RHEL: yum install bcrypt. 

■ Para o Ubuntu: sudo apt-get install bcrypt. 

■ccryplEssa ferramenta usa o software de cifra de chave simetrica Rijndael, tambem chamado AES. 
Ela foi criada para substituir o utilitario crypt padrao do Unix e nao e instalada por padrao. 
Depois que ccrypt esta instalado, as paginas mantornam-se disponiveis. 

■ Para o Fedora e RHEL: yum install ccrypt. 

■ Para o Ubuntu: sudo apt-get install ccrypt. 

■gp^sse utilitario pode usar pares de chaves assimetricas ou uma chave simetrica. Ele e instalado 
por padrao e e a ferramenta de criptografia preferida para servidores Linux. A cifra padrao a usar 
e definida no arquivo gpg. conf . Ha paginas man disponiveis, bemcomo inf o gnupg. 

■gpg2Semelhante ao gpg, mas direcionada para o ambiente de desktop, a ferramenta gpg2 nao e 
instalada por padrao. Depois que gpg2 esta instalada, as paginas mantornam-se disponiveis. 

■ Para o Fedora e RHEL: yum install ccrypt. 

■ Nao disponiyel no Ubuntu. 






Tenha emmente que essa lista só abrange as ferramentas mais populares. Alemdisso, lembre-se de que 
muitas dessas ferramentas de criptografia de arquivo podem ser usadas para mais do que apenas 
criptografia de arquivos. 

Criptografando varias coisas no Linux 

\bce pode aplicar criptologia a quase tudo no Linux. Alem de sistemas de arquivos, diretórios e 
arquivos, voce tambempode criptografar backups, arquivos zip, conex5es de rede e muito mais. 

A Tabela 23.2 lista algumas das diversas ferramentas de criptologia do Linux e o que elas fazem Se 
quiser ver a lista completa das ferramentas de criptografia instaladas na sua distribuięao atual do Linux, 
digite man -k crypt na linha de comando. 


TABELA 23.2 Diversas Ferramentas de Criptografia do Linux 


ramenta 

Descrięao 

)licity 

Criptografa backups. Instalada por padrao no Fedora e no RHEL. Para instalar no Ubuntu, digite 

sudo apt-get install duplicityna linha de comando. 

'■zip 

Utiliza o GNU Privacy Guard para criptografar ou assinar arquivos em um repositório de arquivos. 
Instalada por padrao. 

?nssl 

Um conjunto de ferramentas que implementa os protocolos Secure Socket Layer (SSL) e Transport 
Layer Security (TLS). Esses protocolos exigem criptografia. Instalada por padrao. 

horse 

Um gerenciador de chave de criptografia GNU Privacy Guard. Instalado por padrao no Ubuntu. 

Para instalar no Fedora e no RHEL, digite yum install seahorse na linha de comando. 

Criptografa acesso remoto atraves de uma rede. Instalada por padrao. 

cloak 

Criptografa as entradas em um arquivo Zip. Instalada por padrao. 


Como varios outros itens em um sistema Linux, as ferramentas de criptografia disponiveis sao ricas e 
abundantes. Isso lhe da a flexibilidade e variedade de que voce precisa para implementar os padróes de 
criptologia que sua organizaęao espedfica exige. 

Outra ferramenta de seguranęa extremamente poderosa disponivel no Linux e o PAM. A próxima seęao 
neste capitulo aborda os conceitos basicos do PAM e como voce pode usar essa ferramenta para 
aprimorar ainda mais a seguranęa do seu sistema Linux. 


Implementando a seguranęa do Linux com PAM 

O Pluggable Authenticadon Modules (PAM), isto e, Módulos de Autenticaęao Plugaveis, foi inventado 
pela Sun Microsystems e inicialmente implementado no sistema operacional Solaris. O projeto Linux- 
PAM comeęou em 1997. Hoje, a maioria das distribuięóes Linux usa o PAM. 

PAM simplifica o processo de gerenciamento de autenticaęao. Lembre-se de que a autenticaęao (ver 
Capitulo 22, “Entendendo a seguranęa basica do Linux”) e o processo de determinar que um sujeito 
(conhecido como usuario ou processo) e quem ele diz ser. Esse processo e as vezes chamado de 
“identificaęao e autenticaęao”. O PAM e um metodo centralizado para fornecer autenticaęao para 












aplicativos e sistema Linux. 

Os aplicativos podemser escritos para usar o PAM e sao chamados “compativeis comPAM”. Um 
aplicativo compativel com PAM nao tem de ser reescrito e recompilado para que as configuraęóes de 
autenticaęao possamser alteradas. As alteraęóes necessarias sao feitas dentro de umarqiiivo de 
configuraęao PAM para os aplicativos compativeis com PAM. Assim, o gerenciamento de autenticaęao 
para esses aplicativos e centralizado e simplificado. 

\foce pode ver se um determinado aplicativo ou utilitario Linux e compativel com PAM. Verifique se ele 
foi compilado com a biblioteca PAM, libpam. so. No exemplo a seguir, o aplicativo crontab e 
verificado emtermos da compatibilidade comPAM. O comando ldd verificara as dependencias de um 
arquivo de biblioteca compartilhado. Para mante-lo simples, grep e usado para pesquisar a biblioteca 
PAM. Como voce pode ver, crontab nesse sistema Linuxparticular e compativel comPAM. 

# ldd /usr/bin/crontab | grep pam 

libpam.so.O => /lib/libpam.so.0 (0x44dl2000) 

Os beneficios da utilizaęao do PAM em um sistema Linux incluem os seguintes: 

■ Gerenciamento simplificado e centralizado de autenticaęao do ponto de vista do administrador. 

■ Desenvolvimento simplificado de aplicativos, porque os desenvolvedores podem escrever 

aplicativos usando a biblioteca PAM documentada, em vez de escrever suas próprias rotinas de 
autenticaęao. 

■ Flexibilidade na autenticaęao: 

■ Permitir ou negar acesso a recursos combase em criterios tradicionais, como a identificaęao. 

■ Permitir ou negar acesso com base em outros criterios, como o horario das restrięoes 
do dia. 

■ Configurar limites aos sujeitos, como o uso de recursos. 

Embora os beneficios do PAM simplifiquem o gerenciamento de autenticaęao, a forma como o PAM 
funciona nao e tao simples. 

Entendendo o processo de autenticaęao PAM 

Quando umsujeito (usuario ou processo) solicita acesso a um aplicativo ou utilitario compativel com 
PAM, dois componentes principais sao usados para completar o processo de autenticaęao do sujeito: 

■ Arquivo de configuraęao do aplicativo compativel com PAM 

■ Os módulos PAM que o arquivo de configuraęao usa 

O arquivo de configuraęao de cada aplicativo compativel com PAM esta no centro do processo. Os 
arquivos de configuraęao do PAM chamam certos módulos PAM para realizar a autenticaęao necessaria. 



Módulos PAM autenticam os sujeitos a partir dos dados de autorizaęao do sistema, como uma conta de 
usuario centralizada utilizando LDAP (ver Capitulo 11, “Gerenciando contas de usuario”). 

O Linux vem com muitos aplicativos que sao compativeis com PAM, seus arquivos de configuraęao 
necessarios e módulos PAM ja instalados. Se tiver quaisquer necessidades especiais de autenticaęao, e 
mais provavel que voce encontre ummódulo PAM que ja foi escrito para essa necessidade. Mas antes de 
comeęar a ajustar o PAM, voce precisa entender mais sobre como ele funciona. 

Uma serie de passos e seguida pelo PAM utilizando os módulos e os arquivos de configuraęao para 
garantir que a autenticaęao apropriada de aplicativo ocorra: 

x - Um sujeito (usuario ou processo) solicita acesso a um aplicativo. 

2 - O arquivo de configuraęao PAM do aplicativo, que contem uma politica de acesso, e 
aberto e lido. 

A politica de acesso e definida por meio de uma lista de todos os módulos PAM a serem 
usados no processo de autenticaęao. Essa lista de módulo(s) PAM e chamada pilha. 

3 - Cada modliło PAM na pilha e uwocado na ordem em que esta listado. 

4 - Cada módulo PAM retorna um status de sucesso ou falha. 

5 - A pilha continua a ser lida na ordem e nao necessariamente e parada por um simples 
status de falha retornado. 

6 - Os resultados do status de todos os módulos PAM sao combinados emumunico 
resultado geral de sucesso ou falha da autenticaęao. 

Normalmente, se um unico módulo PAM retornar um status de falha, o acesso ao aplicativo e negado. 

Mas isso depende das especificaęóes das configuraęóes de arquivo. A Figura 23.6 mostra um exemplo de 
uma solicitaęao de autenticaęao sendo negada pelo PAM. 

Todos os arquivos de configuraęao do PAM estao localizados em / etc/pam. d. O fermato geral de um 
arquivo de configuraęao do PAM e: eontext control flag PAM module module 
options 



a 23.6 


sso de autenticaęao do PAM. 


Eis o arquivo de configuraęao do PAM para o comando powerof f . Observe que o arquivo comeęa com 
urna linha de comentario. Toda linha que comeęa com um caractere # e ignorada. 


$ cat /etc/pam.d/poweroff 
# % PAM-1.0 


auth 

auth 

#auth 

account 


suf f icier.t 
reąuired 
include 
reąuired 


parr._rootok. 3o 
parr._console. so 
system-auth 
paru permit.ao 


Lembre-se de que todos os módulos PAM listados na pilha do arquivo de configuraęao serao chamados, 
na ordem, e solicitados a retornar um status. No arquivo de configuraęao anterior do PAM, ha tres status 
retornados para determinar se o sujeito pode acessar o comando powerof f. Para entender melhor como 
esses arquivos de configuraęao sao usados, voce precisa analisar cada pedaęo do fermato geral. 


la 

buntu, os arquivos de configuraęao do PAM podem incluir outros arquivos de configuraęao para autenticaęao. 0 
ivo de configuraęao a ser incluido e listado com um @ na frente do nome. 


Entendendo contextos PAM 

Módulos PAM tern funęóes padrao que fornecem diferentes servięos de autenticaęao. Essas funęóes 
padrao dentro de ummódulo PAM podem ser divididas emdois tipos de funęóes, chamadas contextos. 
Contextos tambem podem ser chamados interfaces ou tipos de módulo. Na Tabela 23.3, os diferentes 
contextos PAM estao listados juntamente como tipo de servięo de autenticaęao que eles fornecem 

Tabela 23.3 Contextos PAM 


itexto 

Descrięaodoservięo 

h 

Fornece seryięos de gerenciamento de autenticaęao, como yerificaęao de senhas de contas 

ount 

Fornece seryięos de yalidaęao de conta, como restrięoes de acesso em certos horarios 

sword 

Gerencia senhas de conta, tais como restrięoes de tamanho de senha 

sion 

Gerencia o inicio e o firn de urna sessao autenticada, como o envio de informaęoes para logs de 
seguranęa 


No arquivo de configuraęao powerof f, mostrado novamente aqui, apenas dois contextos PAM sao 
usados auth e account. Assim, nao ha necessidade de esse aplicatiyo ter seryięos de gerenciamento 












password ou session do PAM. Observe que umdos contextos auth sera ignorado, porque sua linha 
comeęa com um caractere #: 


$ cat /etc/pam.d/poweroff 
#%PAM-1.0 


auth 

auth 

#auth 

account 


sufficient 
required 
include 
reąuirea 


parr._rootok. so 
parr._console. so 
system-auth 
pam permit.so 


O contexto auth e listado duas vezes no arquivo de configuraęao mostrado no código anterior. Mas para 
cada contexto auth, umflag de controle ume módulo PAM diferentes sao usados. Cada umdos flags de 
controle tem seu próprio significado e funęao especiais. 


Entendendo flags de controle PAM 

Em um arquivo de configuraęao do PAM, os flags de controle sao utilizados para determinar o status 
geral, o qual retornara ao aplicativo. Umflag de controle e umdos seguintes: 

■Palavra-chave simples- A unica preocupaęao aqui eseo módulo PAM correspondente retorna urna 
resposta de “falha” ou “sucesso”. Consulte a Tabela 23.4 para saber como esses status sao 
tratados. 

■Serie de aęoes- O status do módulo retornado e tratado por meio de urna serie de aęóes listadas no 
arquivo. 

A Tabela 23.4 mostra os varios flags de controle de palavras-chave e suas respostas ao status do módulo 
retornado. Observe que alguns dos flags de controle precisam ser cuidadosamente colocados na pilha do 
arquivo de configuraęao. Alguns flags de controle farao com que o processo de autenticaęao parę 
imediatamente e os demais módulos PAM nao sejamchamados. Os flags de controle simplesmente 
controlam como os resultados do status do módulo PAM sao combinados emumunico resultado geral. A 
Tabela 23.4 demonstra como os resultados do status sao combinados. 


Tabela 23.4 Flags de controle de configuraęao PAM e como a resposta e tratada 



Descrięao do tratamento da resposta 



uired 

Se falhar, retorna um status de falha ao aplicativo, depois que todos os demais contextos foram 
executados na pilha. 

uisite 

Se falhar, retorna imediatamente um status de falha ao aplicativo, sem executar o restante da pilha. 
(Tenha cuidado sobre onde voce coloca esse controle na pilha.) 

ficient 

Em caso de falha, o status do módulo e basicamente ignorado. Em caso de sucesso, entao, um status 
de sucesso e imediatamente devolvido para o aplicativo, sem executar o resto da pilha. (Tenha 
cuidado sobre onde voce coloca esse controle na pilha.) 

ional 

Esse flag de controle só e importante para o status de retorno geral finał de sucesso ou falha. Pense 
nele como um desempatador. Quando os outros módulos na pilha do arquivo de configuraęao 
retornam status que nao sao status claros de falha ou sucesso, o status desse módulo opcional e usado 
para determinar o status finał ou o desempate. Nos casos em que os outros módulos na pilha retornam 
um caminho claro de falha ou sucesso, esse status e ignorado. 








lude Obtem todos os status de retorno da pilha desse arquivo especlfico de configuraęao PAM para incluir 
no status de retorno geral dessa pilha. E como se a pilha inteira proveniente do arquivo de 
configuraęao nomeado estivesse agora nesse arquivo de configuraęao. 

istack Similar ao flag de controle inclurdo, exceto por como certos erros e avaliaęoes afetam a pilha principal. 
Isso foręa a pilha do arquivo de configuraęao incluida a funcionar como urna subpilha para a pilha 
principal. Assim, alguns erros e avaliaęoes só afetam a subpilha, nao a pilha principal. 


\bce deve entender que os módulos PAM retornam muitos outros códigos de resultado de status do que 
apenas “sucesso” ou “falha”. Por exemplo, ummódulo poderia retornar o código de status de 
PAM_ACCT_EXPIRED, o que significa que a conta do usuario expirou. Isso seria considerado uma 
“falha”. 

Entendendo módulos PAM 

Ummódulo PAM e, na verdade, umconjunto compartilhado de módulos de biblioteca (arquivos DLL) 
armazenados em /lib/security. \bce pode ver uma lista dos varios módulos PAM instalados no 
sistema digitando ls /lib/security/pam* . so na linha de comando. 


ta 

buntu, para encontrar os módulos PAM, digite o comando sudo f ind / -name pam* . so na linha de 
ando. 


O sistema Linux vem commuitos dos módulos PAM necessarios ja instalados. Nao ha necessidade de 
voce mesmo escrever quaisquer módulos PAM. Se voce precisar de um módulo ainda nao instalado, e 
muito provavel que ouba pessoa ja o escreveu. Confira fontes como: 

■ http://www.openwall.com/pam/ 

■ http://puszcza.gnu.org.ua/software/pam-modules/download.html 

Compreendendo os arquivos de configuraęao de evento de sistema PAM 

Ate agora, o foco foi aplicativos compativeis com PAM e seus arquivos de configuraęao. Mas outros 
eventos de sistema, como fazer o login no sistema Linux, tambem usam PAM. Assim, esses eventos 
tambem tern arquivos de configuraęao. 

O seguinte e uma listagem parciał de diretórios do diretório do arquivo de configuraęao PAM. Observe 
que ha arquivos de configuraęao de aplicativo compabveis com PAM, como cond, e arquivos de 
configuraęao de evento de sistema, como postlogin-ac. 

# ls -1 /etc/pam.d 

total 204 


r- 

-r-- . 

1 

root 

root 

272 

Nov 

15 

10:06 

atd 

r- 

-r-- . 

1 

root 

root 

232 

Jan 

31 

12:35 

config-util 

r- 

-r-- . 

1 

root 

root 

293 

Oct 

26 

23:10 

crond 






-rw-r--r-- 


. 1 

-rw-r—r— . 1 
-rw-r—r— . 1 


root 

root 

109 

root 

root 

147 

root 

root 

981 


Feb 28 01:33 
Oct 3 11:51 

Feb 28 01:33 


postlogin-ac 

poweroff 

system-auth-ac 


\bce pode modificar esses arquivos de configuraęao de evento de sistema para implementar as 
necessidades esperificas de seguranęa da sua organizaęao. Por exemplo, o arquivo system-authac 
pode ser modificado para foręar certas restrięóes de senha. 


męao 

ificar ou excluir esses arquivos incorretamente pode bloquear voce e impedir que acesse sen próprio sistema. 
fique-se de testar as alteraęóes em um ambiente virtual ou de teste antes de modificar os servidores de 
uęao Linux. 


Esses arquivos de configuraęao de evento de sistema PAM funcionam exatamente da mesma maneira que 
os arquivos de configuraęao de aplicativo compativeis com PAM. Eles tern o mesmo fermato, usam a 
mesma sintaxe e chamam os módulos PAM. Mas muitos desses arquivos estao simbolicamente yinculados 
(ver Capitulo 4, “Movendo-se pelo sistema de arquivos”). Portanto, esses arquivos de configuraęao 
exigemalguns passos extras quando sao feitas alteraęóes neles. Os procedimentos “como fazer” sao 
discutidos mais adiante, neste capitulo. 




js dos arquivos de configuraęao PAM tern urna pagina man associada a eles. Por exemplo, para encontrar 
naęóes adicionais sobre o módulo pam_unix, digite man pam_unixna linha de comando da distribuięao 
ra e RH EL. 


Embora o Linux venha com muitos aplicativos compativeis com PAM, diversos arquivos de configuraęao 
e módulos PAM ja instalados, voce nao pode simplesmente esperar que o PAM va cuidar de si mesmo. 
Certas etapas administrativas sao necessarias para gerenciar o PAM. 


Administrando o PAM no sistema Linux 


A tarefa de administrar o PAM no sistema Linux e relativamente minima. \bce precisara verificar se o 
PAM esta adequadamente implementado e fazer ajustes para atender as necessidades de seguranęa da 
organizaęao especifica. 

Alem disso, o PAM vai um pouco alem dos simples passos de autenticaęao de aplicativo descritos 
anteriormente. O PAM tambempode limitar recursos, restringir os tempos de acesso, impor urna boa 
seleęao de senha etc. 










Gerenciando arquivos de configuraęao de aplicativos compativeis com PAM 

\bce deve revisar os arquivos de configuraęao PAM para seus aplicativos e utilitarios compatiyeis com 
PAM para garantir que o processo de autenticaęao corresponde ao processo de autenticaęao desejado da 
sua organizaęao. Sua matriz de controle de acesso (ver Capitulo 22, “Entendendo a seguranęa basica do 
Linux”) e as informaęóes sobre o PAM fornecidas neste capitulo devemajuda-lo a realizar urna auditoria 
dos arquivos de configuraęao PAM. 

Cada aplicativo compativel com PAM deve ter um arquivo próprio de configuraęao PAM. Cada arquivo 
de configuraęao define quais módulos PAM especificos serao utilizados para esse aplicativo. Se nao 
existir nenhum arquivo de configuraęao, urna falha de seguranęa poderia ser criada para esse aplicativo. 
Essa falha poderia ser usada para intenęóes maliciosas. Como urna medida de seguranęa, o PAM vem 
como arquivo de configuraęao “other”. Se umaplicativo compativel com PAM nao tiver umarquivo de 
configuraęao PAM, ele usa, por padrao, o arquivo de configuraęao PAM “other”. 

\bce pode verificar se o sistema Linuxtemo arquivo de configuraęao /etc/pam. d/other usando o 
comando ls. O exemplo a seguir mostra que o arquivo de configuraęao PAM /etc/pam. d/other 
existe nesse sistema. 

$ ls /etc/pam.d/other 
/etc/pam.d/other 

O arquivo de configuraęao PAM /etc/pam. d/other deve negar todos os acessos, o que emtermos 
de seguranęa e chamado Implicit Deny. No controle de acesso de seguranęa do computador, Implicit 
Deny significa que, se determinados criterios nao forem claramente satisfeitos, o acesso devera ser 
negado. Nesse caso, se nenhum arquivo de configuraęao existir para um aplicativo PAM, todo o acesso a 
ele sera negado. A seguir, voce pode ver o conteudo de umarquivo /etc/pam. d/other: 

$ cat /etc/pam.d/other 
#%PAM-1.0 

auth required pair._deny. so 

account required pair._deny. so 

password required pam_deny.so 

session required pam_deny.so 

Observe que todos os quatro contextos PAM — auth, account, password e session — sao 
listados. Cada contexto usa o flag de controle reąuired e o módulo pam deny. so. O módulo PAM 
pam_deny. so e usado para negar o acesso. 

Mesmo com o arquivo de configuraęao “other” correto, se um arquivo de configuraęao PAM para um 
aplicatiyo compativel com PAM nao estiver ai, ele precisara ser criado. Adicione esse item a sua lista de 
yerificaęao de auditoria PAM. \bce tambem deve analisar o arquivo de configuraęao PAM “other” no 
sistema Linux para garantir que impóe Implicit Deny. 

Gerenciando os arquivos de configuraęao de eventos de sistema PAM 

Similar aos arquivos de configuraęao de aplicativo e utilitario compatiyeis com PAM, seus arquivos de 
configuraęao de eyentos de sistema PAM terao de ser auditados com a matriz de controle de acesso da 
sua organizaęao. Mas para quaisquer modificaęóes necessarias nesses arquivos, ha passos adicionais que 
precisam ser seguidos. 



No materiał a seguir, voce aprendera a configurar os reąuisitos especiais de seguranęa via PAM no 
sistema Linux, como restrięóes de tempo de login de conta. Muitos dos reąuisitos especiais exigirao que 
voce faęa urna alteraęao nos arquivos de configuraęao de eventos de sistema PAM, como 

/etc/pam.d/system-auth-ac. 

O problema ao fazer mudanęas em alguns desses arquivos de configuraęao de eventos de sistema PAM e 
que o utilitario authconf ig pode reescrever esses arquivos e remover quaisquer alteraęóes feitas 
localmente. Felizmente, cada arquivo de configuraęao PAM que corre esse risco esta documentado em 
urna linha de comentario. Usando grep, voce pode rapidamente encontrar os arquivos de configuraęao 
PAM que tern esse potencial problema. 

# grep "authconfig" /etc/pam.d/* 

/etc/pam.d/fingerprint-auth:# User changes will be destroyed 
the next time authconfig is run. 

/etc/pam.d/fingerprint-auth-ac:# User changes will be destroyed 
the next time authconfig is run. 

/etc/pam.d/system-auth:# User changes will be destroyed 
the next time authconfig is run. 

/etc/pam.d/system-auth-ac:# User changes will be destroyed 
the next time authconfig is run. 


Esses arquivos de configuraęao de eventos de sistema PAM usam links simbólicos (ver Capitulo 4, 
“Movendo-se pelo sistema de arquivos”). Por exemplo, voce pode ver que o arquivo system-auth, 
na verdade, e umyinculo simbólico apontando para o arquivo system-auth-ac. O primeiro 
caractere na seguranęa do arquivo e um 1. Isso indica que o arquivo esta vinculado. O simbolo -> 
mostra que o arquivo esta vinculado simbolicamente. 

# ls -1 system-auth 

lrwxrwxrwx. 1 root root 14 Feb 28 01:36 
system-auth -> system-auth-ac 


ta 

todas as distribuięóes do Linux, como o Ubuntu, tern o utilitario authconf ig, que sobrescrevera os arquivos 
sonfiguraęao PAM. Para verificar se sua distribuięao tem o utilitario authconf ig , digite which 
.hconf ig na linha de comando. Se nada retornar, sua distribuięao do Linux nao tem esse utilitario. 

jlgumas distribuięóes do Linux, o utilitario pam-auth-conf ig e semelhante ao utilitario authconfig 
ito a sua capacidade de sobrescrever os arquivos de configuraęao. Isso pode acontecer se o comando pam- 
h-conf ig —force for digitado na linha de comando. Leia a pagina man man pam-auth-conf ig 
entender mais sobre esse utilitario se ele estiver instalado no seu sistema. 


O utilitario authconfig nao usa os links simbólicos, nemira modifica-los. Assim, voce pode criar um 






novo arquivo de configuraęao local de eventos de sistema PAM e apontar o vinculo simbólico para ele. 
Isso permitira que seu sistema tenha as modificaęóes necessarias de seguranęa implementadas e evitara 
que os arquivos de configuraęao sejamsobrescritos pelo utilitario authconf ig. Os passos basicos sao 
os seguintes, incluindo umexemplo de como executar esses passos para o arquivo system-auth-ac: 

1 - Copie o atual arquivo de configuraęao de eventos de sistema PAM para um novo 
arquivo adicionando um novo finał de nome de arquivo, como “local”. 

# cp system-auth-ac system-auth-local 

2 - Faęa as alteraęoes necessarias no novo arquivo de configuraęao. 

# vi system-auth-local 

3 - Remova o antigo arquivo de vinculo simbólico. 

# ls -1 system-auth 

lrwxrwxrwx. 1 root root 14 Feb 28 01:36 
system-auth -> system-auth-ac 

# 

# rm -i system-auth 

rm: remove symbolic link 'system-auth'? y 

4 - Crie um novo vinculo simbólico apontando-o para o novo arquivo de configuraęao. 

# ln -s system-auth-local system-auth 

# 

# ls -1 system-auth 

lrwxrwxrwx. 1 root root 17 Feb 28 01:37 
system-auth -> system-auth-local 

Depois que essas alteraędes foram feitas, voce pode fazer as alteraędes necessarias nos arquivos de 
configuraęao “locais” de eventos de sistema PAM sem se preocupar com o fato de que o utilitario 
authconfig sobrescrevera os arquivos. 

Implementando limites de recursos com PAM 

O gerenciamento de recursos nao e apenas urna tarefa administrativa de sistema. Tambem e urna tarefa 
administrativa de seguranęa. Definir limites de recursos aj uda a evitar muitos problemas adversos no 
sistema Linux. Problemas como bombas de fork podem ser evitados limitando o numero de processos que 
um unico usuario pode criar. Urna bomba de fork ocorre quando um processo gera um processo após o 
outro de urna maneira recursiva ate que os recursos do sistema sejamconsumidos. Bombas de fork podem 
ser maliciosas ou apenas acidentais — como aquelas criadas por desenvolvimento ruim de código de 
programa. 

O módulo PAM pam-limits usa umarquivo de configuraęao especial para definir esses limites de 
recursos, /etc/security/limits . conf. Por padrao, esse arquivo nao tern limites de recursos 
definidos dentro dele. Portanto, voce tera de revisar o arquivo e definir limites de recurso para atender 
as necessidades de seguranęa da organizaęao. 



ta 

ivos de configuraęao PAM estao nodiretório /etc/pam. de nodiretório /etc/security. 


O trecho de código a seguir mostra o arquivo /etc/security/limits . conf. Como voce pode 
ver, o arquivo esta bem documentado, incluindo descriędes completas de formato e exemplos dos limites 
que podem ser configurados. 

$ cat /etc/security/limits.conf 

# /etc/security/limits.conf 

# # 

Each linę describes a 

limit for a 

user in the form: 

# 

#<domain> <type> <item> <value> 

# 

#Where: 

#<domain> can be: 

# - an user name 

# - a group name, with @group syntax 

# - the wildcard *, for default entry 

# - the wildcard %, can be also used with %group syntax, 

# for maxlogin limit 

# 

#<type> can have the two values: 

# - "soft" for enforcing the soft limits 

# - "hard" for enforcing hard limits 

# 






#<item> can be one of the following: 

# - core - limits the core file size (KB) 

# - data - nax data size (KB) 

# - fsize - maximum filesize (KB) 

# - memlock - max locked-in-memory address space (KB) 

# - nofile - max number of open files 

# - rss - nax re3ident set size (KB) 

# - stack - max stack size (KB) 

# - cpu - max CPU tirne (MIN) 

# - nproc - max number of processes 

# - as - address space limit (KB) 

# - maxlcgins - max number of logins for this user 

# - naxsyslogins - max number of logins on the system 

# - priority - the priority to run user process with 

# - locks - max number of file locks the user can hołd 

# - sigpending - max number of pending signals 

# - msggueue - max memory used by POSIX 

message ąueues (bytes) 

# - nice - max nice priority allowed to 
raise to values: [-20, 19] 

# - rtprio - max realtime priority 

# 


#<dcmain> 

# 

<tipe> 

<item> 

<value> 

#* 

soft 

core 

0 

#* 

hard 

rss 

10000 

#8student 

hard 

nproc 

20 

#8faculty 

soft 

nproc 

20 

#8faculty 

hard 

nproc 

50 

#ftp 

hard 

nproc 

0 

#8student 

- 

roaxlogins 

4 


# End of file 


Os itens de formato domain e type precisam ser explicados um pouco mais alem do que esta 
documentado no arquivo de configuraęao: 

■domakO limite se aplica ao usuario ou grupo listado. Se o dominio for ele sera aplicado a 
todosos usuarios. 

■typeUm limite hard nao pode ser excedido. O limite soft pode ser excedido, mas apenas 
temporariamente. 

Analise o exemplo do arquivo de configuraęao limits . conf a seguir. O grupo f aculty esta listado, 
mas o que voce deve observar e nproc. O limite nproc define o numero maximo de processos que um 
usuario pode iniciar. Essa configuraęao e o que impede urna bomba de fork. Observe que o type 
selecionado e hard; assim, o limite de 50 processos nao pode ser excedido. Obviamente, esse limite 
nao e imposto porque a linha esta desativada como caractere de comentario #. 

#@faculty hard nproc 50 

As definięóes dos limites sao configuradas por login e existem apenas para a duraęao da sessao de login. 
Um usuario malicioso poderia fazer o login varias vezes para criar urna bomba de fork. Assim, definir o 
numero maximo de logins para essas contas de usuario tambem e urna boa ideia. 

Limitar o numero maximo de logins talvez precise ser feito individualmente por usuario. Por exemplo, 
j ohndoe precisa fazer login no sistema Linux apenas urna vez. Para evitar que outras pessoas usem a 
conta de j ohndoe, configure o maxlogins dessa conta como 1. 



3 ohndoe 


hard 


maxlogins 1 


O passo finał para limitar esse recurso e assegurar que o módulo PAM utilizando limits . conf esta 
incluido em um dos arquivos de configuraęao PAM de eventos de sistema. O módulo PAM utilizando 
limits . conf e pam_limits. Na listagemparciał a seguir, grep e utilizado para verificar se o 
módulo PAM e usado dentro dos arquivos de configuraęao de eventos de sistema. 

# grep "pam_limits" /etc/pam.d/* 

system-auth:session reguired pam_limits. so 

system-auth-ac:session reąuired pair._lixn.its .so 

system-auth-local:session reguired pam_limits.so 


Limites de tempo para o acesso a servięos e contas nao sao tratados pelo arquivo de configuraęao 
/etc/security/limits . conf PAM. Emvez disso, ele e tratado pelo arquivo time . conf. 

Implementando restrięóes de tempo com PAM 

O PAM pode fazer com que todo o sistema Linux opere em “tempo PAM”. Restrięóes de tempo, como 
acesso a determinados aplicativos durante horarios especificos do dia ou permissóes de login apenas 
durante os dias especificados da semana, sao tratadas pelo PAM. 

O arquivo de configuraęao PAM que lida com essas restrięóes esta localizado no diretório 
/etc/security. O código a seguir mostra o arquivo de configuraęao PAM 

/etc/security/time . conf bemdocumentado. 

$ cat /etc/security/time.conf 

# this is an exaxple ccnfiguration file for the pam_time module 

# the syntax of the lines is as follows: 

# 

# services;ttys;users;times 

# services 

# is a logie list of PAM service names that the rule applies to. 

# 

# ttys 

# is a logie list of terminal names that this rule applies to. 

# 



# users 

# is a logie list of users or a netgroup of users to whom this 

# rule applies. 

## 

NB. For these iteri3 the simple wildcard nay be used 
only once. 

# 

# times 

# the format here is a logie list of day/time-range 

# entries the days are specified by a seguence of two eharacter 

# entries, MoTuSa for exaraple is Monday Tuesday and 
Saturday. Notę 

# that repeated days are ur.set MoMo = no day, and 
MoWk = all weekdays 

# bar Monday. Ihe two eharacter combinations accepted are 

# 

# Mo Tu We Th Fr Sa Su Wk Wd Al 

# 

#the last two being week-end days and all 7 days of the week 

# re3pectively. As a finał example, AlFr means all 
days except Friday. 

# 

# each day/tirne-range can be prefixed with a '!' to 
indicate "anything 

# but" 

# 

# The time-range part is two 24-hour times HHMM separated 
by a hyphen 

# indicating the start and finish time (if the finish time 
is 3tnaller 

# than the start time it is deemed to apply on the following 
day) . 

# 

# for a rule to be aetive, ALL of service+ttys+users must be 
satisfied 

# by the applying process. 

# End of exanpłe file. 


Observe que o formato para cada entrada yalida vem depois da sintaxe a seguir: 

servięos; ttys; usuarios; horarios. Cada campo e separado por umponto e yirgula. Os yalores yalidos 

de campo sao documentados no arquivo de configuraęao time . conf. 

Embora time . conf esteja bemdocumentado, umexemplo sempre e util. Por exemplo, voce decidiu 
que os usuarios normais devem ter autorizaęao para fazer login nos terminais apenas durante a semana 
(segunda a sexta). Eles podem fazer login entre 7 e 19 horas nesses dias da semana. A lista a seguir 
descreve os elementos que precisamser definidos: 

■ seryięos — Login 

■ ttys — * (Designando que todos os terminais devem ser incluidos) 

■ usuarios — Todo mundo, exceto root (! root) 

■ horarios — Permitido nos dias de semana (Wd) entre 7:00 (07 0 0) e 19:00 (190 0) 

A entrada em time . conf se pareceria como seguinte: 

login; * ; !root ; Wd0700-1900 


O ultimo passo para implementar essa restrięao de tempo de exemplo e assegurar que o módulo PAM 




ta 

)dulo pam cracklib e instalado por padrao no Fedora e no RHEL Para sistemas Ubuntu Linux, ele nao e 
lado por padrao. Portanto, para teracesso ao módulo pam cracklib no Ubuntu, emita o comando sudo 
-get install libpam-cracklib. 








Usando pam cracklib, voce pode verificar urna senha recem-escolhida considerando o seguinte: 

■ E uma palavra de dicionario? 

■ E um palindromo? 

■ E a senha antiga comletras maiusculas/minusculas modificadas? 

■ E muito parecida com a senha antiga? 

■ E muito curta? 

■ E uma versao reciclada da senha antiga? 

■ Ela usa os mesmos caracteres consecutivos? 

■ Ela contem o nome de usuario de alguma forma? 

\bce pode mudar as regras que pam cracklib usa para verificar novas senhas fazendo modificaęóes 
no arquivo /etc/pam. d/system-auth. \bce poderia achar que as mudanęas devemser feitas no 
arquivo de configuraęao passwd compativel comPAM. Mas o arquivo /etc/pam. d/passwd inclui 
o arquivo systemauth na pilha. 


# cat /etc/pam.d/passwd 
#%PAM-1.0 


auth 

account 

password 

-password 

pa33word 


include 

include 

substack 

optional 

substack 


system-auth 

sysrem-auth 

system-auth 

pam_gnome_keyring.so use 
postlcgin 


authtok 


ta 

Jbuntu, voce precisara modificar o arquivo /etc/pam. d/common-password, em vez do arquivo de 
guraęao system-auth. 


As configuraęóes atuais do arquivo system-auth sao mostradas aqui. Voce pode ver que atualmente 
nao ha uma entrada que chama o módulo PAM pam cracklib. 


# cat /etc/pam.d/system-auth 
#%PAM-1.O 

# This file is auto-generated. 

# User changes will be destroyed the next time authconfig is run. 

auth reguired pam._env.so 

auth sufficient pam_fprintd.so 






auth 

sufricienz 

pam_unix.sc nullcJc zry_firsz_pa33 

auth 

re^uisize 

pam_succeed_if.sc uid >= 1000 quiez 

auth 

required 

pam_deny.sc 

account 

required 

pam_unix.sc 

account 

sufficienz 

pam_localuser.so 

account 

sufficienz 

pam_succeed_if.sc uid < 1000 quiez 

account 

required 

pam_permii.so 

password 

requisize 

pam cracklib.so zry_firsz_pass rezry=3 


Aentrada pam_cracklib na listagemanterior usa a palavra-chave retry. Abaixo, ha urna lista das 
varias palavras-chave dispomveis para cracklib. 

■ retry —N 

■ Default = 1 

■ Solicita o usuario no maximo N vezes antes de retornar com um erro. 

■ difok=lV 

■ Default = 5 

■ O numero de caracteres na nova senha que nao devem estar presentes na senha antiga. 

■ Exceęao 1: Se metade dos caracteres na nova senha for diferente, entao a nova senha sera aceita. 

■ Exceęao 2: Ver dif ignore. 

■ difignore=lV 

■ Default = 23 

■ O numero de caracteres que a senha temantes que a configuraęao dif ok seja ignorada. 

■ minlen=IV 

■ Default = 9 

■ O tamanho mlnirno aceitavel para a nova senha. 

■ Ver emdcredit, ucredit, lcredit e ocredit como essas configuraęóes afetam 

minlen. 

■ dcredit=!V 

■ Default = 1 

■ Se (N > = 0): O numero maximo de dlgitos na nova senha. Se houver menos de ou N dlgitos, 

cada dlgito sera contado +1 para satisfazer o valor minlen atual. 

■ Se (N < 0): O numero mlnirno de dlgitos que urna nova senha deve ter. 

■ ucredit=!V 


■ Default = 1 

■ Se (N > = 0): O numero maximo de letras maiusculas da nova senha. Se houver menos de ou N 



letras maiusculas, cada letra sera contada +1 para satisfazer o valor minlen atual. 

■ Se (N < 0): O numero minimo de letras maiusculas que urna nova senha deve ter. 

■ 1credit =N 

■ Default = 1 

■ Se (N > = 0): O numero maximo de letras minusculas da nova senha. Se houver menos que ou N 

letras minusculas, cada letra sera contada +1 para satisfazer o valor minlen atual. 

■ Se (N < 0): O numero minimo de letras minusculas de urna nova senha. 

■ ocredit=!V 

■ Default = 1 

■ Se (N > = 0): O numero maximo de outros caracteres da nova senha. Se houver menos do que ou 

N outros caracteres, cada caractere sera contado +1 para satisfazer o valor minlen atual. 

■ Se (N < 0): O numero minimo de outros caracteres de urna nova senha. 

■ minclass =N 

■ Default = 0 

■ N classes de quatro classes de caracteres sao necessarias para a nova senha. As quatro classes 

sao numeros, letras maiusculas, letras minusculas e outros caracteres. 

■ maxrepeat=lV 

■ Default = 0 

■ Rejeita senhas que contemmais que N caracteres iguais consecutivos. 

■ reject_username 

Verifica se o nome do usuario esta contido na nova senha (na ordem direta ou invertida). Se ele 
for encontrado, a nova senha sera rejeitada. 

■ try_first_pass 

Tenta obter a senha a partir de um módulo PAM anterior. Se isso nao funcionar, solicitara ao 
usuario a senha. 

■ use_authtok 

Esse argumento e utilizado para foręar ( force ) o módulo a nao solicitar ao usuario urna nova 
senha. Em vez disso, a nova senha e fornecida pelo módulo password previamente empilhado. 

■ dictpath =/caminho 

O caminho para os dicionarios cracklib. 

Por exemplo, se sua organizaęao exigir que as senhas tenham 10 caracteres de tamanho que contenham 
dois digitos, voce adicionaria urna linha semelhante ao seguinte ao arquivo /etc/pam. d/system- 



auth: 


password required pam_cracklib.so minlen=10 dcredit=-2 


As palavras-chave utilizadas neste exemplo compam_cracklib sao: 
■minlen=iCA nova senha deve ter pelo menos 10 caracteres. 
■dcredit—2A nova senha deve conter dois numeros. 


ta 

sstrięóes pam cracklib nao se aplicam ao usuario root. 


lncentivando o uso desudo com PAM 

Para permitir o monitoramento do uso da conta root pelas pessoas e evitar urna situaęao de repudio (ver 
Capitulo 22, “Entendendo seguranęa basica no Linux”), e melhor restringir o uso do comando su e 
incentivar o uso de su do. Se sua organizaęao tiver urna politica assim, voce pode alcanęar isso com 
PAM emapenas alguns passos. 

O comando su e compativel com PAM, o que simplifica muito as coisas. Ele usa o módulo PAM 
pam wheel para verificar se ha usuarios no grupo wheel. O arquivo de configuraęao 
/etc/pam. d/su e mostrado aqui: 


# cat /etc/pam.d/su 
#%PAM-1.0 


auth 

sufficient 

pam_rootok.so 

# Uncotnment the following 
in the "wheel" group. 

linę to implicitly trust users 

#auth 

sufficient 

pam_wheel.sc trust use_uid 

# Uncomment the following 
in the "wheel" group. 

linę to reąuire a user to be 

#auth 

reąuired 

pam_wheel.sc use_uia 

auth 

include 

system-auth 

auth 

include 

postlogin 

account 

sufficient 

pam_succeed_if.so uid = 0 use_uid 

account 

include 

system-auth 

password 

include 

system-auth 

session 

include 

system-auth 

session 

include 

postlogin 

session 

opticnal 

pam_xauth.so 


Primeiro, para restringir o uso de su, se voce estiver usando o grupo wheel como o grupo 
administrativo, voce precisara reatribuir o grupo administrativo para um novo grupo (ver Capitulo 11, 
“Gerenciando contas de usuario”). Se voce nao estiver usando o grupo wheel, apenas certifique-se de 
nao atribuir futuramente nenhuma pessoa a esse grupo. 

Emseguida, voce precisa editar o arquivo de configuraęao /etc/pam. d/su. Remova a marca de 
comentario, #, da seguinte linha: 


#auth 


reąuired 


pam wheel.so use uid 






Comessas modificaęóes, o PAM desativara o uso do comando su. Usuarios administrativos agora terao 
de usar sudo, que o sistema monitora e fornece umambiente desejado de nao repudio (ver Capitulo 22, 
“Entendendo seguranęa basica no Linux”). 

Bloqueando contas com PAM 

Os reąuisitos especificos de seguranęa da sua organizaęao poderiam exigir o bloąueio de urna conta de 
usuario após um determinado numero de tentativas de login. O padrao tipico e bloąuear urna conta depois 
de tres tentativas malsucedidas. Isso acontece para evitar umataąue de senha de foręa bruta contra urna 
conta. 

O módulo PAM usado para gerenciar tentativas de login e pam_tally2. O arquivo de configuraęao 
PAM a editar e /etc/pam. d/system-auth. 


ta 

ibuięóes mais antigas do Linuxtalvez usem o módulo PAM pam taiły emvez de pam tally2. 

Mais urna vez, voce deve fazer essas alteraęóes no arquivo local system-auth-local, emvez de 

system 

-auth-ac, porque authconf ig sobrescrevera as modificaęóes na próxima vez que for 

executado. As duas linhas que voce precisa adicionar a system-auth-local estao destacadas no 

código a 

seguir. Sua colocaęao nesse arquivo e extremamente importante. 

# cat system-auth-local 


HPAM-1 

.0 


# Local 

system-auth file. 


# Changs 

;s will net be dest 

:royed by autheonfig 

auth 

required 

pam tally2.so deny=3 quiet 

auth 

reguired 

pam_env.se 

auth 

sufficient 

pajr^fprintd. so 

auth 

sufficient 

pam_unix.so nullok try_first_pass 

auth 

reąuisite 

pam_succeed_if.so uid >= 1000 ąuiet 

auth 

reguired 

pam_deny.so 

account 

reąuired 

pam tally2.so 

account 

reguired 

pam_unix.so 

account 

sufficient 

pam_localuser.so 

account 

sufficient 

pam_succeed_if.so uid < 1000 ąuiet 

account 

reguired 

pam_penait.so 

męao 



uma cópia de backup de system-auth-local e teste as alteraęóes em um ambiente de teste antes de 

■ alteraęóes no sistema de produęao Linux. Uma modificaęao incorreta poderia bloguear todo mundo do seu 

ma, incluindo o usuario root. 



Na primeira linha de contexto auth envolvendo pam tally. so no código anterior, observe que duas 
opęóes foram adicionadas, deny=3 e ąuiet. Aopęao deny=3 permitira a um usuario apenas tres 
tentatiyas de login malsucedidas antes de a conta ser bloqueada. 








Se a conta for bloqueada, a opęao quiet nao informara isso ao usuario ela simplesmente continuara 
fornecendo mensagens “senha incorreta”. Nao deixar o usuario saber o que aconteceu comuma conta e 
util se voce estiver sendo atacado de forma maliciosa. O atacante malicioso nao sabera que a conta foi 
bloqueada e achara que ele acabou de inserir outra senha incorreta. Isso pode lhe dar tempo para 
monitorar o que esta acontecendo. 

Usar a opęao quiet pode, porem, causar muitos problemas para os usuarios. Por exemplo, umusuario 
talvez nao perceba que ele inseriu a senha errada um numero suficiente de vezes para bloquear a conta. 
Isso pode causar umatraso na procura de ajuda. \bce pode remover a opęao quiet do arquivo de 
configuraęao de modo que, quando um usuario fizer muitas tentativas de login malsucedidas, ele recebera 
urna mensagemcomo “Conta bloqueada devido a 4 logins malsucedidos”. 


ta 

Jbuntu, em vez do arquivo de configuraęao system-auth, voce precisara adicionar as informaęóes de 
3xto auth ao arquivo /etc/pam. d/commonauth e adicionar informaęóes de contexto account ao 
ivo /etc/pam. d/common-account. 


O módulo pam_tally2 tambeminclui urna interface de linha de comando que voce pode usar para 
monitorar as tentativas de login malsucedidas. Se o módulo pam_tally2 estiver incluido emumdos 
seus arquivos de configuraęao de eventos de sistema PAM, ele mantera um registro em log de quantas 
tentativas de login malsucedidas ocorreram no sistema. Para ver essas falhas, digite o comando 
pam_tally2, como mostrado no seguinte código: 

# pam_tally2 

Login Failures Latest failure From 

Samantha 2 03/10/15 06:24:01 pts/1 

O nome de usuario, numero de falhas e a ultima tentativa sao listados juntamente com o terminal em que a 
falha mais recente ocorreu. \foce tambempode usar o comando pam_tally2 para desbloquear urna 
conta de usuario depois que ela foi bloqueada pelo módulo pam_tally2 PAM. 

Quando urna conta e bloqueada pelo PAM, ela nao e listada como bloqueada no arquivo /etc/shadow 
e voce nao pode desbloquea-la usando o comando usermod -U nome_do_usuańo. Para desbloquea- 
la, voce precisa usar o comando pam_tally2. 

No exemplo a seguir, a conta da usuaria Samantha teve muitas tentativas de login malsucedidas. Mas a 
conta nao e listada como bloqueada no arquivo /etc/shadow, mostrado pelo comando passwd. 
Bloquear a conta usando o comando usermod -L fara comque ela seja bloqueada via o arquivo 
/etc/shadow, nao via o PAM. 






# pam_tally2 

Login Failures Latest failure Fron 

Samantha 5 03/10/15 06:32:24 prs/l 

# passwd -S Samantha 

Samantha FS 2015-03-09 0 99999 7 -1 (Password set, SHA512 crypt.) 

# 

# usermod -L Samantha 

# passwd -S Samantha 

Samantha LK 2015-03-09 0 99599 7 -1 (Password locked.) 

# 

# usermod -U Samantha 

# passwd -S Samantha 

Samantha PS 2015-03-09 0 55999 7 -1 (Password 3et, 5HA512 crypt.) 

No código a seguir, o comando pam_tally2-r-u Samantha e emitido para desbloąuear a conta da 
usuaria Samantha. Observe que o comando pam_tally2 lista novamente o numero de tentativas de 
login malsucedidas urna vez que ele elimina o “bloqueio”. Quando o comando pam_tally2 e emitido 
novamente, os registros das tentativas malsucedidas da usuaria Samantha foram removidos, porque o 
bloqueio foi removido. 

# pam_tally2 -r -u Samantha 

Login Failures Latest failure From 

Samantha 5 03/10/15 06:34:09 pts/1 

# pam_tally2 

# 

Ha muitas outras opęóes que voce pode usar compam_tally2. Para explorar esse módulo PAM ainda 
mais, emita o comando pam_tally2 man na linha de comando. 

Obtendo mais informaęóes sobre o PAM 

PAM e outra ferramenta de seguranęa rica e versatil disponivel para voce no sistema Linux. Nas paginas 
man do sistema Linux, voce pode ler sobre como gerenciar os arquivos de configuraęao PAM e sobre os 
módulos no diretório /lib/security. 

■ Para obter mais informaędes sobre os arquivos de configuraęao PAM, use o comando man 

pam. conf. 

■ \foce pode ver todos os módulos PAM disponiveis no seu sistema digitando ls 

/lib/security/pam* . so na linha de comando. Para obter mais informaęóes sobre cada 
módulo PAM, digite man pam _nome_do_módulo_pam. Certifique-se de remover a extensao 
de arquivo “so” para o nome_do_módulo_pam. Por exemplo, digite man pam_lastlog para 
aprender mais sobre o módulo pam_lastlog. so. 

Ha tambemvarios sites que podemfornecer informaęóes adicionais sobre o PAM: 

■ O site web Linux-PAM Oficial: http : / / linux-pam. org 

■ O Guia do Administrador do Sistema PAM do Linux: http : //linux-pam. org/Linux- 

PAM-html/Linux-PAM_SAG.html 

■ Referenda do módulo PAM: http: //linux-pam. org/Linux-PAM-html/sag- 



module-reference.html 


Resumo 


As ferramentas de criptografia e o PAM devem ser tratados com cuidado a medida que voce aprende 
sobre o Linux. Certifique-se de testar todas as modificaęóes que voce faz em um sistema Linux de teste ou 
em um sistema Linux virtualizado antes de implementa-las em urna maquina de produęao. 

Antes de adicionar essas ferramentas avanęadas de criptografia e o PAM a fasę de implementaęao do 
ciclo de vida do processo de seguranęa da organizaęao, revise as varias opęóes que elas oferecem 
Depois de determinar de quais recursos dessas ferramentas avanęadas sua organizaęao precisa, adicione- 
os a fasę de implementaęao. 

O próximo capitulo discute o SELinux. Embora criptografia e PAM sejam ferramentas que voce pode 
usar no sistema Linux, o SELinux e urna camada inteira de aprimoramento de seguranęa. 


Bcercicios 


Use esses exercicios para testar seu conhecimento sobre o uso das ferramentas de criptografia e o PAM. 
Essas tarefas supóem que voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora 
algumas tarefas tambem funcionem em outros sistemas Linux). Se voce empacar, soluęóes para as tarefas 
sao mostrados no Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

1 - Criptografe umarquivo usando o utilitario gpg e urna chave simetrica. 

2 - Gere umchaveiro usando o utilitario gpg. 

3 - Listę o chaveiro que voce gerou. 

4 - Criptografe umarquivo e adicione sua assinatura digital usando o utilitario gpg. 

5 - Acesse a pagina inicial Linux Mint em www. linuxmint. com. Apartir da pagina 
Download, selecione urna das distribuięóes do Linux Mint para download. Quando o 
download estiver completo, use o utilitario apropriado de resumo de mensagem para 
garantir que o arquivo baixado nao foi corrompido. 

6 - Usando o comando which su, determine o nome completo de arquivo do comando su. 
Entao, determine se o comando su no seu sistema Linux e compativel com PAM. 

7 - O comando su temumarquivo de configuraęao PAM? Se tiver, exiba-o na tela e listę quais 
contextos PAM ele utiliza. 

8 - Listę na sua tela os varios módulos PAM no seu sistema. 

9 - Encontre o arquivo de configuraęao PAM “other” no seu sistema. Ele existe? Ele impóe um 
Implicit Deny? 

10 - Encontre o arquivo de configuraęao de limites do PAM. Ele tern urna definięao para evitar 





que urna bomba de fork ocorra no seu sistema? 



CAPITUJ^J 


Aprimorando a seguranęa do Linux com o SELinux 


NESTE CAPITULO 

Entendendo os beneffcios do SELinux 
Aprendendo como o SELinuxfunciona 
Configurando o SELinux 
Corrigindo problemas com o SELinux 
Obtendo informaęoes adicionais sobre o SELinux 

O Security Enhanced Linux (SELinux), isto e, Linux de Seguranęa Reforęada, foi desenvolvido pela 
National Security Agency (NSA) juntamente comoutras organizaęóes de pesąuisa de seguranęa, 
como a Secure Computing Corporation (SCC). O SELinux foi lanęado para a comunidade de 
código aberto em 2000 e tornou-se popular quando o Red Hat comeęou a implementar o SELinux como 
umpacote padrao. Agora, o SELinux e usado por muitas organizaędes e esta amplamente disponivel. 


Entendendo os beneffcios do SELinux 


O SELinux e um módulo de aprimoramento de seguranęa implantado sobre o Linux. Ele fornece medidas 
de seguranęa adicionais e e incluido por padrao no RHEL e no Fedora. 

O SELinux oferece melhor seguranęa para o sistema Linux via controle de acesso baseado em papeis 
(RBAC), emsujeitos e objetos (conhecidos como processos e recursos). A seguranęa “tradicional” do 
Linuxusa controles de acesso discricionario (Discretionary Access Controls, DAC). 


ta 

de parte de documentaęao do SELinux afirma que o SELinux usa o modelo de controle de acesso mandatório 
ndatory Access ControI, MAC). Lembre-se de que o RBAC e urna versao refinada do MAC (ver Capftulo 22, 
sndendo a seguranęa basica do Linux”). Assim, a documentaęao esta correta quando diz que o SELinux usa MAC. 


O SELinux nao e um substituto para o DAC. Em vez disso, ele e urna camada de seguranęa adicional. 







■ Regras DAC ainda sao utilizadas ao usar o SELinux. 

■ Regras DAC sao verificadas primeiro e, se o acesso for permitido, entao as politicas do SELinux 

sao verificadas. 

■ Se as regras DAC negarem o acesso, as politicas do SELinux nao sao revisadas. 

Se umusuario tentar executar umarquivo ao qual ele nao tem acesso de execuęao (rw-), os controles 
DAC “tradicionais” do Linux negarao o acesso. Portanto, as politicas do SELinux nem mesmo serao 
verificadas. 


ta 

Iinux e o aprimoramento de seguranęa padrao das distribuięóes Red Hat e o AppArmor e o aprimoramento de 
ranęa padrao para o Ubuntu. Voce ainda pode instalar o SELinux no Ubuntu usando o comando sudo apt- 
install selinux e depois reiniciar. Se quiser saber mais sobre o AppArmor, acesse 

ps://help.ubuntu.com/community/AppArmor. 


Embora controles “tradicionais” de seguranęa do Linux ainda funcionem, ha varios beneficios para o uso 
do SELinux, como: 

■ Implementar o modelo de controle de acesso RBAC — Esse e considerado o modelo mais forte 

de controle de acesso. 

■ Usar o acesso de me nor privilegio para sujeitos (por exemplo, usuarios e proce ssos) — O 

termo menor pn'vz7egz'osignifica que cada sujeito recebe umconjunto limitado de privilegios que 
sao apenas suficientes para permitir que o sujeito seja funcional nas suas tarefas. Como menor 
privilegio implementado, os danos acidentais (ou propositais) que um usuario ou processo pode 
causar nos objetos sao limitados. 

■ Permite colocar o processo emuma caixa de areia — O termo caixa de areia significa que cada 

processo e executado emuma area própria (a caixa de areia). Ele nao pode acessar outros 
processos ou seus arquivos, a menos que permissdes especiais sejamconcedidas. Essas areas 
onde os processos sao executados sao chamadas “dominios”. 

■ Permite que seja feito umteste da sua funcionalidade antes da implementaęao — O SELinux 

tem um modo permissivo, que permite que voce veja o efeito da aplicaęao do SELinux no 
sistema. 

Outra maneira de analisar os beneficios do SELinux e examinar o que pode acontecer se ele nao estiver 
emexecuęao no sistema Linux. Por exemplo, o daemon do servidor web (httpd) ouve algo acontecer 
emuma porta. Urna simples solicitaęao de umnavegador web chega para visualizar a pagina inicial. 
Passando por sua rotina normal, o daemon httpd ouve a solicitaęao e apenas a seguranęa “tradicional” 
do Linux e aplicada. Sendo irrestrito pelo SELinux, httpd e capaz de: 

■ Acessar ąualąuer arquivo ou diretório combase em permissdes de leitura/gravaęao/execuęao para 

o proprietario e grupo associados. 






■ Realizar atividades potencialmente inseguras, como permitir carregar um arquivo ou alterar os 

limites do sistema. 

■ Ouvir solicitaęóes de entrada em qualquer porta que ele quiser. 

Em um sistema restringido pelo SELinux, o daemon httpd e muito mais bem controlado. Usando o 
exemplo anterior, httpd só pode ouvir na porta em que o SELinux permite que ele ouęa. Em essencia, o 
SELinux limita severamente códigos e atividades maliciosos no sistema Linux. 


Entendendo como o SELinuxfunciona 


O SELinux pode ser comparado a um guarda emuma porta: Nessa comparaęao, o sujeito (o usuario) quer 
acessar o objęto (o arquivo) dentro da sala. Para ter acesso a esse objęto: 

L O sujeito deve apresentar um cracha de identificaęao para o guarda. 

2 - O guarda analisa o cracha de identificaęao e as regras de acesso mantidas emum grandę 
manuał. 

■ Se as regras de acesso permitirem que esse cracha de identificaęao especial abra a porta, o 

sujeito podera entrar na sala para acessar o objęto. 

■ Se as regras de acesso nao permitirem que esse cracha de identificaęao especial acesse o 

objęto, entao o guarda nao o deixara entrar. 

O SELinux fornece urna combinaęao de controle de acesso baseada em papeis ( Role Based Access 
Control, RBAC) e Type Enforcement (TE) ou Multi-Level Security (MES ). No controle de acesso 
baseado em papeis (ver Capitulo 22), o acesso a um objęto baseia-se no papel atribuido a um sujeito na 
organizaęao. Portanto, ele nao se baseia no nome de usuario do sujeito ou ID de processo. Cada papel 
recebe direitos de acesso. 

Entendendo o Type Enforcement 

O Type Enforcement (TE) e necessario para implementar o modelo RBAC e ele protege um sistema: 

■ Rotulando objetos como certos tipos de seguranęa 

■ Atribuindo aos sujeitos dominios e papeis especificos 

■ Fornecendo regras que permitemque certos dominios e papeis acessem certos tipos de objetos 

O exemplo a seguir usa o comando ls -1 para mostrar os controles DAC no arquivo my stuf f. O 
arquivo tern proprietarios e grupo listados, bem como suas atribuięóes de leitura, gravaęao e execuęao. 

Se voce precisar revisar as permissdes de arquivo, consulte o Capitulo 4, “Movendo-se pelo sistema de 
arquivos”. 

$ ls -1 my_stuff 

-rw-rw-r—. 1 johndoe johndoe 0 Feb 12 06:57 my_stuff 




O exemplo a seguir inclui ls -Z e o mesmo arquivo, my_stuf f, mas, emvez de apenas os controles 
DAC, a opęao - Z tambem exibe os controles de seguranęa RBAC do SELinux. 

$ ls -Z my_stuff 

-rw-rw-r—. johndoe johndoe 

unconfined_u:obj ect_r:user_home_t:sO my_stuff 

O exemplo ls -Z exibe quatro itens a mais do que o comando ls -1: 

■ Um usuario (unconf ined_u) 

■ Umpapel (ob j ect_r) 

■ Umtipo (user_home_t) 

■ Ummvel (sO) 

Esses quatro itens RBAC (usuario, papel, tipo e mvel) sao usados no controle de acesso do SELinux para 
determinar os niveis apropriados de acesso. Juntos, os itens sao chamados contexto de seguranęa do 
SELinux. Umcontexto de seguranęa (cracha de identificaęao) e as vezes chamado “rótulo de seguranęa”. 

Essas atribuięóes de contexto de seguranęa sao dadas aos sujeitos (processos e usuarios). Cada contexto 
de seguranęa temumnome especifico. O nome dado depende a qual objęto ou sujeito ele foi atribuido: 

Os arquivos tem um contexto de arquivo, os usuarios tem um contexto de usuario e os processos tem um 
contexto de processo, tambem chamado de “dominio”. 

As regras que permitemo acesso sao chamadas “regras de permissao” ou “regras de politica”. A regra 
de politica e o processo que o SELinux segue para conceder ou negar acesso a umtipo particular de 
seguranęa do sistema. \bltando a comparaęao do SELinx com o guarda, o SELinux funciona como o 
guarda que tem de ver o contexto de seguranęa do sujeito (o cracha de identificaęao) e revisar as regras 
de politica (manuał das regras de acesso) antes de permitir ou negar o acesso a um objęto. Assim, o Type 
Enforcement garante que apenas alguns “tipos” dos sujeitos possamacessar certos “tipos” de objetos. 

Entendendo a Multi-Level Security 

Como SELinux, voce pode escolher Multi-Level Security, que usa o Type Enforcement, juntamente como 
recurso adicional de autorizaęóes de seguranęa. Ele tambem oferece Multi-Category Security, que 
fornece os niveis de classificaęao para objetos. 


:a 

omes da Multi-Level Security (MLS) podem causar confusao. Multi-Category Security (MCS) e as vezes chamada 
lulti-Clearance Security. Como a MLS oferece MCS, as vezes ele e chamado de MLS/MCS. 


AMulti-Level Security impóe o modelo de seguranęa Bell-LaPadula Mandatory Access. O modelo Bell- 
LaPadula foi desenvolvido pelo governo dos EUApara impor a confidencialidade das informaęóes. A 
aplicaęao desse modelo e alcanęada concedendo acesso a objetos combase na autorizaęao de seguranęa 





do papel e mvel de classificaęao do objęto. Autorizaęao de seguranęa e umatributo concedido aos 
papeis permitindo acesso aos objetos classificados. M vel de classificaęao e umatributo concedido a um 
objęto, fornecendo proteęao contra sujeitos que tern um atributo de autorizaęao de seguranęa que e muito 
baixo. \foce provavelmente ja ouviu falar do nivel de classificaęao “Top Secret” (“ultrassecreto”). O 
personagem de livros e filmes de ficęao James Bond tinha urna autorizaęao de seguranęa ultrassecreta, 
que lhe concedia acesso a informaęóes classificadas como ultrassecretas. Isso e umuso classico do 
modelo Bell-LaPadula. 

Acombinaęao de RBAC juntamente comType Enforcement (TE) ou Multi-Level Security (MLS) permite 
ao SELinux fornecer urna melhoria de seguranęa muito forte. O SELinux tambem oferece diferentes 
modos operacionais para sua utilizaęao. 

Implementando modelos de seguranęa do SELinux 

O modelo controle de acesso baseado em papeis e os modelos Type Enforcement, Multi-Level Security e 
Bell-LaPadula sao temas interessantes. O SELinux implementa esses modelos por meio de urna 
combinaęao de quatro partes principais do SELinux: 

■ Modos operacionais 

■ Contextos de seguranęa 

■ Tipos de politica 

■ Regra de pacotes de politicas 

Embora alguns desses elementos de design ja tenham sido discutidos brevemente, a discussao a seguir lhe 
dara um entendimento detalhado deles. Esse entendimento e necessario antes de voce comeęar a 
configurar o SELinux no sistema. 

Entendendo os modos operacionais do SELinux 

O SELinux vem com tres modos operacionais: Disabled, Permissive e Enforcing. Cada um desses modos 
oferece diversos beneficios para a seguranęa do sistema Linux. 

Usando o modo Disabled 

No modo Disabled, o SELinux e desativado. O metodo padrao de controle de acesso, Discretionary 
Access Control (DAC), e usado em seu lugar. Esse modo e util para situaęóes em que a seguranęa 
reforęada nao e necessaria. 


:a 

udo com que voce importa e desativar o SELinux, voce encontrou a resposta. Basta editar o arquivo de 
guraęao /etc/selinux/conf ig e alterar o texto SELINUX= para o seguinte: 
ilNUX=disabled. 0 SELinux sera desativado após a reinicializaęao do sistema. Agora voce pode pular o 
inte deste capitulo. 





Usando o modo Permissive 

No modo permissivo, o SELinux e ativado, mas as regras de politica de seguranęa nao sao aplicadas. 
Quando urna regra de politica de seguranęa deve negar a admissao, o acesso ainda e permitido. Mas urna 
mensagem e enviada para um arquivo de log indicando que o acesso deve ser negado. 

O modo Permissive do SELinux e usado para o seguinte: 

■ Auditar as regras atuais de politica do SELinux 

■ Testar novos aplicativos para ver quais efeitos as regras de politica do SELinux terao sobre eles 

■ Testar novas regras de politica do SELinux para ver o efeito que as novas regras terao sobre os 

servięos e aplicativos atuais 

■ Determinar por que um determinado servięo ou aplicativo nao mais funciona corretamente sob o 

SELinux 

Utilizando o modo Enforcing 

O nome praticamente diz tudo. No modo Enforcing, o SELinux e ativado e todas as regras de politica de 
seguranęa sao impostas ( enforced ). 

Compreendendo contextos de seguranęa do SELinux 

Como mencionado anteriormente, um contexto de seguranęa do SELinux e o metodo utilizado para 
classificar objetos (como arquivos) e sujeitos (como usuarios e programas). O contexto de seguranęa 
definido permite ao SELinux impor regras de politica para os sujeitos que acessamos objetos. Um 
contexto de seguranęa consiste emquatro atributos: user, role, type e level. 

■ user — O atributo usere um mapeamento de um nome de usuario do Linux para um nome do 

SELinux. Isso nao e a mesma coisa que o nome de login de um usuario, e e chamado 
especificamente de usuario SELinux. O nome de usuario do SELinux termina com um u, tornando 
mais facil identifica-lo na saida. 

■ role — Umpapel designado na empresa e mapeado para o nome de umpapel do SELinux. O 

atributo role e entao atribuido a varios sujeitos e objetos. Acada papel, e concedido acesso a 
outros sujeitos e objetos combase na autorizaęao de seguranęa do papel e no nivel de 
classificaęao do objęto. Mais especificamente, para o SELinux, umpapel e atribuido a cada 
usuario e os papeis sao autorizados para determinados tipos ou dominios. O uso de papeis pode 
foręar contas, como root, a urna posięao menos privilegiada. O nome do papel do SELinux tern um 
“r” no finał. 

■ type — Esse atributo define umtipo de dominio para processos, umtipo de usuario para usuarios 

e umtipo de arquivo para arquivos. Esse atributo tambeme chamado de “tipo de seguranęa”. 
Atribuir um tipo e um metodo de agrupar itens com base nas suas semelhanęas a partir de um 
ponto de vista de seguranęa. Regras de politica permitem que certos dominios e papeis acessem 
certos tipos de objetos. Isso e umelemento chave no Type Enforcement. Por exemplo, cada 
processo e executado em um dominio. Esse tipo de dominio atribuido determina diretamente o 
acesso de cada processo aos varios tipos de arquivo, bem como o acesso a outros tipos de 



dominios dos processos. Amaioria das regras de politica esta preocupada comąuais tipos de 
seguranęa tem acesso a quais outros tipos de seguranęa. O nome do tipo no SELinux termina com 
urn t. 

■ level — O level e umatributo do Multi-Level Security (MLS) e impóe o modelo Bell- 

LaPadula. Ele e opcional no TE, mas e necessario se voce estiver usando MLS. O nivel MLS e 
uma combinaęao dos valores de sensibilidade e categoria, que juntos formamo nivel de 
seguranęa. Umnivel e escrito como sensitivity : category. 

■ sensitivity 

■ Representa o nivel de seguranęa ou sensibilidade de um objęto como confidencial ou 

ultrassecreto. 

■ E hierarquico com s 0 (nao classificado) normalmente sendo o mais baixo. 

■ E listado como umpar de niveis de sensibilidade ( mvelBaixo-mvelAlto ) se os niveis 

forem diferentes. 

■ E listado como umunico nivel de sensibilidade (sO) se nao houver niveis baixos e altos. 

Mas emalguns casos, mesmo que nao haja niveis baixos e altos, o intervalo ainda e 
mostrado (sO-sO). 

■ category 

■ Representa a categoria de um objęto, como No Clearance, Top Clearance etc. 

■ Tradicionalmente, os valores estao entre cO e c2 55. 

■ E listado como umpar de niveis de categoria ( mvelBaixo-mvelAlto ) se os niveis forem 

diferentes. 

■ E listado como umunico nivel de categoria (nivel) se nao houver niveis baixos e altos. 

Os usuarios tem contextos de seguranęa 

Para ver o contexto de usuario do SELinux, digite o comando id no shell de comando. Eis umexemplo 
do contexto de seguranęa para o usuario j ohndoe: 

$ id 

uid=1000(johndoe) gid=1000(johndoe) groups=1000(johndoe) 
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 

A lista do contexto de seguranęa de usuario mostra o seguinte: 

■ user — O usuario Linux, j ohndoe, e mapeado para o usuario unconf ined_u do SELinux. 

■ role — O usuario SELinux, unconf ined_u, e mapeado para o papel do unconf ined_r. 

■ type — O usuario recebeu o tipo de unconf ined_t. 


level— 



■ sensitivity — O usuario temapenas umunico nivel de sensibilidade e ele e o nivel 

mais baixo de sO. 

■ categories — O usuario temacesso ac0.cl023, que sao todas as categorias (cO ate 

cl023). 

Os arquivos tem contextos de seguranęa 

Um arquivo tambem tem um contexto de seguranęa. Para ver o contexto de um arquivo individual, use a 
opęao - Z no comando ls. O seguinte e umcontexto de seguranęa para o arquivo my stuf f: 

$ ls -Z my_stuff 

-rw-rw-r —. johndoe johndoe 
unconfined_u:object_r:user_home_t:sO my_stuff 

A lista do contexto de arquivo mostra o seguinte: 

■ user — O arquivo e mapeado para o usuario unconf ined_u do SELinux. 

■ role — O arquivo e mapeado para a funęao de obj ectr. 

■ type — O arquivo e considerado parte do dominio user_home_t. 

■ level— 

■ sensitivity — O usuario temapenas umunico nivel de sensibilidade e ele e o nivel 

mais baixo de sO. 

■ categories — MCS nao e configurado como esse arquivo. 

Os processos tem contextos de seguranęa 

O contexto de seguranęa de um processo tem os mesmos quatro atributos que o contexto de um usuario e 
um arquivo. Para ver informaęóes do processo em um sistema Linux, voce normalmente usa urna variante 
do comando ps. No código a seguir, o comando ps -el foi usado. 

t ps -el | grep bash 

0 3 1000 1505 1523 0 80 0 - 1653 r._tty_ pta/0 00:00:00 bash 

0 3 1000 5285 1523 0 80 0 - 1653 wait pfcs/l 00:00:00 bash 

43 0 5350 5342 0 80 0 - 1684 wait pts/1 00:00:00 bash 

Para ver o contexto de seguranęa de um processo, use a opęao - Z no comando ps. No exemplo a seguir, 
o comando ps -eZ foi usado e entao redirecionado para grep a firn de pesquisar somente os 
processos executando o bash shell. 

# ps -eZ | grep bash 

unconfined_u:unconfined r:unconfined_t:sO-sO:cO.c!023 1589 pts/0 00:00:00 bash 
unconfined_u:unconfined r:unconfined_t:sO-sO:cO.cl023 5289 pts/1 00:00:00 bash 
unconfined_u:unconfined r:unconfined_t:sO-sO:cO.cl023 5350 pts/1 00:00:00 bash 

A lista de contexto do processo mostra o seguinte: 

■ user — O processo e mapeado para o usuario unconf ined u do SELinux. 



■ role — O processo esta emexecuęao para o papel unconf ined_r. 

■ type — O processo esta emexecuęao no dominio unconf ined_t. 

■ level— 

■ sensitivity — O processo temapenas o mvel sO. 

■ categories — O processo temacesso ac0.cl023,o que significa todas as categorias 

(cO ate cl023). 

Esses contextos de seguranęa podem ser alterados para atender as necessidades de seguranęa especificas 
da organizaęao. Mas antes de voce aprender a alterar as configuraęóes desses contextos de seguranęa, 
voce entender outra peęa do quebra-cabeęa do SELinux, os tipos de politica do SELinux. 

Entendendo os tipos de politica do SELinux 

O tipo de politica escolhido determina diretamente quais conjuntos de regras de politica sao utilizados 
para determinar o que umobjęto pode acessar. O tipo de politica tambem determina quais atributos 
especificos do contexto de seguranęa sao necessarios. E aqui que voce comeęa a ver o nivel refinado do 
controle de acesso que pode ser implementado por meio do SELinux. 


ta 

pos de politica disponiveis na sua distribuięao talvez nao correspondam com aqueles listados aqui. Por exemplo, 
distribuięóes mais antigas do Linux, a politica rigorosa ainda esta disponivel. Nas distribuięoes mais recentes, a 
ica rigorosa foi mesclada com a politica Targeted. 


O SELinux tem diferentes politicas que voce pode escolher: 

■ Targeted 

■ MLS 

■ Minimum 

Cada politica implementa diferentes controles de acesso para atender as necessidades da organizaęao. E 
fundamental entender esses tipos de politica a firn de selecionar a correta para suas necessidades de 
seguranęa particulares. 

Politica Targeted 

O objetivo principal da politica Targeted e restringir daemons “direcionados”. Mas ela pode tambem 
restringir outros processos e usuarios. Daemons direcionados sao colocados na caixa de areia. Urna 
caixa de areia e umambiente emque os programas podem ser executados, mas o acesso a outros objetos 
e rigidamente controlado. Diz-se que um processo emexecuęao nesse ambiente esta na “caixa de areia”. 
Assim, um daemon direcionado e restrito de modo que nenhum ataque lanęado por meio dele pode afetar 
outros servięos ou o sistema Linux como um todo. 

Todos os sujeitos e objetos nao direcionados sao executados no dominio unconf ined t. O dominio 






unconf ined t nao temrestrięóes de politica do SELinux e, portanto, só utiliza a seguranęa 
“tradicional” do Linux. 

O SELinux vem com o conjunto de politicas especificas padrao. Assim, por padrao, o SELinux visa 
apenas alguns daemons. 

A politica MLS (Multi-Level Security) 

Objetivo principal da politica MLS e aplicar o modelo Bell-LaPadula. Ele concede acesso a outros 
sujeitos e objetos combase na autorizaęao de seguranęa de umpapel e nivel de classificaęao do objęto. 

Na politica MLS, o atributo MLS de umcontexto de seguranęa e crucial. Do contrario, as regras de 
politica nao saberao como impor restrięóes de acesso. 

Politica Minimum 

Essa politica e exatamente isso, minima. Ela foi originalmente criada para maąuinas com pouca memória 
ou dispositivos como smart phones. 

A politica Minimum e essencialmente a mesma que a politica Target, mas apenas o pacote basico da 
politica de regras e usado. Essa politica “essencial” pode ser usada para testar os efeitos do SELinux em 
um unico daemon designado. Para dispositivos com pouca memória, a politica Minimum permite que o 
SELinux seja executado semconsumir urna grandę quantidade de recursos. 

Entendendo os pacotes de regras do SELinux 

Regras de politica, tambem chamadas regras de permissao, sao as regras usadas pelo SELinuxpara 
determinar se um sujeito tem acesso a um objęto. As regras de politica sao instaladas com o SELinux e 
sao agrupadas em pacotes, tambem chamados de módulos. Cada arquivo especifico do pacote de 
politicas termina comum * . pp. 

O diretório /etc/selinux/ tipo_de_politica / modules/active/modules contemalguns 
arquivos de pacotes de politica (* . pp). O exemplo a seguir mostra os pacotes de regras de politicas 
para um sistema Linux com a politica Targeted implementada: 

# ls /etc/selinux/targeted/modules/active/modules/*.pp 

/etc/sel±nux/targeted/modules/active/modules/abrt.pp 
/etc/selinux/targeted/modules/active/modules/accountsd.pp 
/etc/selinux/targeted/modules/active/modules/acct.pp 
/etc/selinux/targeted/modules/active/modules/ada.pp 
/etc/selinux/targeted/modules/active/modules/afs.pp 

/etc/selinux/targeted/modules/active/modules/xserver.pp 
/etc/selinux/targeted/modules/active/modules/zabbix.pp 
/etc/selinux/targeted/modules/active/modules/zarafa.pp 
/etc/selinux/targeted/modules/active/modules/zebra.pp 
/etc/selinux/targeted/modules/active/modules/zosremote.pp 

No sistema Linux, ha documentaęao sobre esses varios módulos de politica, sob a forma de arquivos 
HTML. Para consultar essa documentaęao no Fedora ou no RHEL, abra o navegador do sistema e digite o 
seguinte URL: f ile : ///usr/share/doc/politica_selinux- 
n°_da_versao_do_selinux/html /index . html. AFigura 24.1 mostra o indice da 
documentaęao do módulo de politica. Para o Ubuntu, o URL e 



file : ///usr/share/doc/selinux-policy-doc/html/index . html. Se nao tiver a 
documentaęao da polltica no seu sistema, voce pode instala-la em um sistema Fedora ou RHEL digitando 

yum install selinux-policy-doc na linha de comando. No Ubuntu, digite sudo apt-get 
install selinuxpolicy- doc na linha de comando. 



a 24.1 


aientaęao do módulo de politica do SELinux. 


\bce pode revisar essa documentaęao da politica para ver como as regras de politica sao criadas e 
empacotadas. 

Os pacotes das regras de politica, juntamente como modo de operaęao do SELinux, tipo Policy e varios 
contextos de seguranęa, funcionamjuntos para proteger o sistema Linux via o SELinux. Aseęao a seguir 
discutira como comeęar a configurar o SELinux para atender as necessidades de seguranęa especificas da 
sua organizaęao. 

Configurando o SELinux 

O SELinux vem pre-configurado. \bce pode usar os recursos do SELinux sem nenhum trabalho de 
configuraęao. Mas raramente as definięóes pre-configuradas atendem a todas as necessidades de 
seguranęa do sistema Linux. 

As configuraędes do SELinux só podem ser definidas e modificadas pelo usuario root. Os arquivos de 
configuraęao e politica estao localizados no diretório /etc/selinux. 

O arquivo de configuraęao principal e o /etc/selinux/conf ig e ele se parece comisto: 

# cat /etc/selimui/config 

t This file Controls che State of SELinun or. the systes. 

$ 3ELINUX= can t-ahe one of these three values: 
i enfomr.g ~ SELinun security policy is enforced. 

t peraissive ~ SELinun prints Karnir.gs instead of er.forcing. 

t disabled ~ SEŁmua is fully disabled. 

SELINUX = enforcing 

t SELINUX7YPE— tyre of policy in use. Possible values are: 
i targeted ~ Cr.ly targeted network aaertcr.s are protected. 

# strict “ Fuli SELinun protertion. 

SELINOXTYPE=fcargeted 


Esse arquivo de configuraęao principal do SELinux permite definir o modo operacional e o tipo de 
politica. 

Definindo o modo operacional do SELinux 

Para ver o modo operacional atual do SELinux no seu sistema, use o comando getenforce. Para ver o 
modo operacional atual e o modo definido no arquivo de configuraęao, use o comando se status. 
Ambos os comandos sao mostrados no código a seguir: 





# getenforce 
Enforcing 

# 

# sestatus 
SELinux status: 

SELinuxfs mount: 

Current modę: 

Modę from config file: 
Policy version: 

Policy from config file: 


enabled 

/sys/fs/selinux 

enforcing 

er.forcing 

26 

targeted 


Policy from config file: targeted 

Para alterar a configuraęao do modo operacional, use o setenforce novaconfiguraęao, onde 
noyaconfiguraęao e: 

■ enforcing ou 1 

■ permissiveou0 


Observe que voce nao pode usar o comando setenforce para mudar o SELinux para o modo 

disabled. 


O exemplo a seguir mostra o modo do SELinux sendo alterado para o modo permissive por meio do 
comando setenforce. O comando sestatus mostra o modo operacional atual e o modo no arquivo 
de configuraęao, que nao foi modificado. Quando o sistema e reinicializado, ele determina o modo 
operacional do SELinux a partir do arquivo de configuraęao. Assim, o modo permissive configurado 
no exemplo a seguir e temporario porque o modo enforcing sera configurado por meio do arquivo de 
configuraęao quando o sistema for reiniciado. 


# setenforce 0 

# 

# getenforce 

Permissive 

# 

# sestatus 
SELinux 3tatus: 
SEŁinuxfs mount: 
Current modę: 

Mcde from config file: 


enabled 

/sys/f3/selinux 

permi33ive 

enforcing 


inęao 

‘lhormudardo disabled para o modo enforcing modificando o arquivo de configuraęao e reinicializando. 
ar do disabled para enforcing por meio do comando setenforce pode travar o sistema como 
tado de rótulos incorretos de arquivo. 


Para desativar o SELinux, voce precisa editar o arquivo de configuraęao dele. Para evitar que as 
configuraęóes atuais do modo operacional mudem, voce tambem deve editar o arquivo de configuraęao. 
O metodo preferido para mudar o modo operacional do SELinux e modificar o arquivo de configuraęao e 
entao reiniciar o sistema. 

Ao mudar de disabled para o modo enforcing ou permissive, o SELinuxira atribuir 
automaticamente um novo nome ao sistema de arquivos depois de urna reinicializaęao. Isso significa que 
o SELinux ira yerificar e alterar os contextos de seguranęa de todos os arquivos com contextos de 






seguranęa incorretos (por exemplo, arquivos erroneamente rotulados) que podem causar problemas no 
novo modo operacional. Alemdisso, quaisquer arquivos nao rotulados sao rotulados comcontextos. Esse 
processo de renomeaęao pode demorar bastante porque o contexto de cada arquivo e verificado. A seguir 
esta a mensagem que voce recebe quando um sistema passa por um processo de rerotulaęao após a 
reinicializaęao: 

*** Warning -- SELinux targeted policy relabel is reąuired. 

*** Relabeling could take a very long time, depending on file 
*** system size and speed of hard drives. 


Para modificar o modo operacional no arquivo /etc/selinux/conf ig, altere a linha SELINUX= 
para umdos seguintes: 

■ disabled 


■ enforcing 


■ permissive 

O exemplo do arquivo de configuraęao do SELinux a seguir mostra que o modo foi configurado como 
permissive. Agora, quando ocorrer urna reinicializaęao do sistema, o modo sera alterado. 


# setenforce 0 

# 

# getenforce 

Perir.is3ive 

# 

# sestatus 
SELinux 3tacus: 
SELin*jxf3 nount: 
Current modę: 

Mcde from config file: 


enabled 

/sys/f3/selinux 

permissive 

enforcing 


O arquivo de configuraęao principal do SELinux nao contem apenas a configuraęao do modo 
operacional, ele tambem especifica o tipo de politica que sera aplicado. 


Definindo o tipo de politica do SELinux 

O tipo de politica que voce escolhe determinara se o SELinux aplica TE, MLS ou um pacote basico. Essa 
configuraęao de tipo determina diretamente os conjuntos das regras de politica utilizados para determinar 
o que um objęto pode acessar. 

Por padrao, o tipo de politica e definido como targeted. Para alterar o tipo de politica padrao, edite o 
arquivo /etc/selinux/config. Altere a linha SELINUXTYPE= para umdos seguintes: 

■ targeted 

■ mis 


■ minimum 



Se definir o tipo do SELinux como mis ou minimum, voce precisara certificar-se de que o pacote de 
politicas foi instalado. Verifiqiie isso digitando o seguinte comando: yum list selinux-policy- 
mlsouyum list selinux-policy-minimum. 


ta 

verificar os pacotes de polftica do SELinux no Ubuntu, use o comando sudo apt-cache policy 

ie_do jjacote. 


O exemplo do arquivo de configuraęao do SELinux a seguir mostra que o tipo foi configurado como mis. 
Agora, quando ocorrer urna reinicializaęao do sistema, o tipo de politica sera alterado. 

# cat /etc/selimut/config 

$ Th ca file Controls the State of SELinux on the system. 

X 3ELINUXTYPE= type o£ policy in use. Possible values are: 
t targeted ~ Only targeted network daerr.ons are prote:tea. 

t strict “ Fuli SELinuat protection. 

3ELIHUXTYPE=ml3 


inęao 

se deixe enganar pelos comentarios desatualizados no arquivo de configuraęao do SELinux. Voce nao pode definir 
INUXTYPE como strict nas novas distribuięoes do Linux. Se fizer isso, o sistema travara na próxima 
;ializaęao e voce precisara usaros comandos grub para corrigir o problema. 0 tipo de politica strict agora e 
parte do tipo de politica targeted. 


Gerenciando os contextos de seguranęa do SELinux 

Contextos de seguranęa do SELinux permitem que ele imponha regras de politica aos sujeitos que 
acessamos objetos. O sistema Linux vem com contextos de seguranęa ja atribuidos. 

Para visualizar os atuais contextos de seguranęa de processo e arquivo do SELinux, use o comando 
secon. A Tabela 24.1 lista as opęóes disponiveis no comando secon. 

TABELA 24.1 Opęóes do Comando secon 

:ao Descrięao 

Use essa opęao para mostrar o usuario do contexto de 
seguranęa. 

Use essa opęao para mostrar o papel do contexto de 
seguranęa. 

Use essa opęao para mostrar o tipo de contexto de 
seguranęa. 

Use essa opęao para mostrar o nrvel de sensibilidade do 
contexto de seguranęa. 














Use essa opęao para mostrar o mvel de autorizaęao do 
contexto de seguranęa. 

Use essa opęao para mostrar o mvel de sensibilidade e 
autorizaęao do contexto de seguranęa como um 
intervalo MLS. 


Se voce usar o comando secon semuma designaęao, ele mostrara o contexto de seguranęa do processo 
atual. Para ver outro contexto de seguranęa do processo, use a opęao -p. O exemplo a seguir mostra 
como usar secon para ver o contexto seguranęa atual do processo init. 

# secon -urt 

user: unconfined u 
role: unconfined_r 
type: unconfined_t 

# 

# secon -urt -p 1 

user: system_u 
role: system_r 
type: init_t 

Para visualizar o contexto de seguranęa de umarquivo, use a opęao -f, como mostrado aqui: 

# secon -urt -f /etc/passwd 

user: system_u 
role: object_r 
type: etc_t 

O contexto de seguranęa de umusuario nao e visualizado usando o comando secon. Para ver o contexto 
de seguranęa de umusuario, use o comando id. Para ver o contexto de seguranęa de umusuario alemdo 
seupróprio, a sintaxe do comando e id -Z nome_do_usuario. 

Gerenciando o contexto de seguranęa do usuario 

Lembre-se de que cada ID de login de usuario do sistema e mapeado para um determinado ID de usuario 
do SELinux. Para ver urna lista de mapeamento no seu sistema, digite o comando semanage login - 
1. O comando semanage e sua saida sao mostrados no código a seguir. Se umID de login de usuario 
nao estiver listado, entao o mapeamento de login “padrao” e utilizado, que e o Login Name de 
_def ault_. Observe que as configuraęóes MLS/MCS associadas para cada usuario do SELinux 
tambem sao mostradas. 

t semanage login —1 

Login Name SELinu.sc User MLS/MCS Rangę 

s0~s0:c0.cl023 
s0~s0:c0.cl023 
s0-s0:c0.cl023 


_defaulfc 

r cos 

system u 


unconfinea_u 
unconfined_u 
systemja 


Para ver urna exibięao atual dos usuarios do SELinux e seus papeis associados, use o comando 



semanage user - 1 . Aexibięao parciał a seguir mostra os papeis mapeados para os nomes de 
usuario do SELinux: 


t semanage user -1 

Labęling ML3/ ML3/ 

SELinujt User rrefm MC3 Level MC3 Rar.ge 5ELrr.UK Roles 


git_shell_u user sO 

guest_u user sO 


sO gxr_shell_r 

sO guest_r 


user_u user sO 

aguest_u user sO 


sO user_r 

sO xguesr r 


Se voce precisar adicionar umnovo nome de usuario do SELinux, o utilitario semanage e usado 
novamente. Dessa vez, o comando e semanage user -a nome_de_usuario_no_selinux. Para 
mapear um ID de login para o usuario SELinux recem-adicionado, o comando e semanage login - 
a -s nome_de_usuar±o_no_sel±nux loginID. O utilitario semanage e urna ferramenta 
poderosa para gerenciar a configuraęao do SELinux. Para mais informaęóes sobre o utilitario 
semanage, consulte as pages man. 


Gerenciando o contexto deseguranęa dearquivo 

Rotular arquivos e fundamental para manter um controle de acesso adeąuado aos dados de cada arquivo. 
O SELinux nao define rótulos de seguranęa de arquivo na instalaęao e na reinicializaęao do sistema 
quando o modo de operaęao disabled do SELinux e alterado para outro modo. Para ver o rótulo atual 
de umarquivo (conhecido como contexto de seguranęa), use o comando ls -Z, como mostrado aqui: 

# ls -Z /etc/passwd 
-rw-r—r—. root root 

system_u:object_r:etc_r:su /etc/passwd 

Ha varios comandos que voce pode usar para gerenciar rótulos de contexto de seguranęa de arquivo, 
como mostrado na Tabela 24.2. 


TABELA 24.2 Comandos do Gerenciamento de Rótulos do Contexto de Seguranęa de Arquivo 


itario 

Descrięao 

cat 

Usado para mudar a categoria do rótulo de um contexto 
de seguranęa de arquivo. 

eon 

Usado para alterar o rótulo do contexto de seguranęa de 
um arquivo. 

xfileś 

Chama o utilitario restorecon/setf ileś. 

storecon 

Faz exatamente a mesma coisa que o utilitario 
setfiles, mas tern urna interface diferente da de 

setfileś. 

tfileś 

Utilizado para verificar e/ou corrigir rótulos de contexto 
de seguranęa. Ele pode ser executado para verificaęao 
de rótulos de arquivos e/ou renomeaęao de arquivos ao 
adicionar um novo módulo de polltica ao sistema. Faz 
exatamente a mesma coisa que o utilitario 









restorecon, mas tem uma interface diferente da 
interface de restorecon. 


Os comandos chcat e chcon, mostrados na Tabela 24.2, permitem alterar o contexto de seguranęa de 
umarquivo. No exemplo a seguir, o comando chcon e usado para mudar o usuario SELinux associado a 

file . txt de undefined_u para system_u. 

# ls -Z file.txt 

-rw-rw-r—. johndoe johndoe 

unconfined_u : object_r:user_home_t:sO file.txt 

# 

# chcon -u system_u file.txt 

# 

# ls -Z file.txt 

-rw-rw-r--. johndoe johndoe 
system_u :object_r:user_home_t:sO file.txt 

Observe na Tabela 24.2 que f ixf ileś, restorecon e setf ileś sao essencialmente o mesmo 
utilitario. Mas restorecon e a escolha popular para corrigir rótulos de arquivo. O comando 
restorecon -R nome_do_arquivo restaura o contexto de seguranęa padrao de umarquivo. 

Gerenciando o contexto de seguranęa do processo 

A definięao de um processo e um programa em execuęao. Ao executar programas ou servięos em um 
sistema Linux, cada umrecebe umID de processo (ver Capltulo 6). Emumsistema como SELinux, um 
processo tambem recebe um contexto de seguranęa. 

O modo como um processo recebe seu contexto de seguranęa depende de qual processo o iniciou. 
Lembre-se de que init e a “mae” de todos os processos (ver Capltulo 15). Assim, muitos daemons e 
processos sao iniciados por init. As partidas dos processos init recebemnovos contextos de 
seguranęa. Por exemplo, quando o daemon apache e iniciado pelo init, ele recebe o tipo (conhecido 
como domlnio) httpd t. O contexto atribuldo e tratado pela polltica do SELinux escrita 
especificamente para esse daemon. Se nao houver nenhuma polltica para um processo, entao ele recebe 
umtipo padrao, unconf ined_t. 

Para um programa ou aplicativo executado por um usuario (processo pai), o novo processo (processo 
filho) herda o contexto de seguranęa do usuario. E claro, isso só ocorre se o usuario tiver permissao para 
executar o programa. Um processo tambem pode executar um programa. O processo filho, nesse caso, 
tambem herda seu contexto de seguranęa do processo pai. Portanto, o processo filho e executado no 
mesmo dominio. 

Assim, um contexto de seguranęa de um processo e definido antes de o programa ser executado e depende 
de quem o iniciou. Ha alguns comandos que voce pode usar para mudar os contextos de seguranęa sob os 
quais um programa e executado: 

■ runcon — Executa o programa usando opęóes para determinar o usuario, o papel e o tipo 
(conhecido como dominio). 



■ sandbox — Executa o programa dentro de um dominio rigidamente controlado (conhecido como 
caixa de areia). 

\bce pode causar varios problemas usando runcon, portanto, utilize-o comcautela. Mas sandbox 
oferece muita proteęao. Ele permite flexibilidade ao testar novos programas no sistema Linux. 


Gerenciando pacotes de regras de politica do SELinux 

Regras de politica sao as regras usadas pelo SELinux para determinar se um sujeito tern acesso a um 
objęto. Elas sao agrupados empacotes, tambemchamados módulos, e sao instaladas como SELinux. 
Urna maneira facil de visualizar os módulos no seu sistema e usar o comando semodule -1. Ele 
listara todos os módulos de politica junto com o numero da versao atual. Um exemplo do comando 
semodule -1 e mostrado aqui: 


# semodule -1 

abrt 1 
accountsd 1 
acct 1 


2.0 
0.0 
5.0 


xserver 
zabbix 
zarafa 
zebra 
zosremote 


3 . 5.6 

1 . 3.1 

1 . 0.0 

1 . 12.0 

1 . 1.0 


Varias ferramentas irao ajuda-lo a gerenciar e ate mesmo criar seus próprios módulos de politica. A 
Tabela 24.3 mostra as varias ferramentas de pacotes de regras de politica disponiveis emum sistema 
Fedora. 


TABELA 24.3 

Ferramentas do Pacote de Politicas do SELinux 

ramenta de politica 

Descrięao 

dit2allow 

Gera regras de politicas allow/dontaudit a partir 
dos logs das operaęoes negadas 

dit2why 

Gera uma descrięao do motivo por que o acesso foi 
negado a partir dos logs das operaęoes negadas 

eckmodule 

Compila os módulos de politica 

eckpolicy 

Compila politicas do SELinux 

ad policy 

Carrega novas politicas no kernel 

module 

Gerencia módulos de politica 











module_deps 


Lista as dependencias entre os pacotes de pollticas 
module_expand Expande um pacote de módulo de polltica 

modułe_link Agrupa pacotes de módulo de polltica 

module_package Cria um pacote de módulo de polltica 


O seguinte e um exemplo da polltica normalmente usada como um framework para criar regras de 
polltica locais. A polltica de exemplo e bastante longa, assim, apenas urna parte e mostrada. 

# cat /usr/share/selinux/devel/example.te 

policy_module(myapp,1.0.0) 

########################################## 

# 

# Declarations 

# 

type myapp_t; 
type myapp_exec_t; 
domain_type(myapp_t) 

domain_entry_file(myapp_t, myapp_exec_t) 

type myapp_log_t; 
logging_log_file(myapp_log_t) 

type myapp_tmp_t; 
files_tmp_file(myapp_tmp_t) 


allow myapp_t myapp_tmp_t:file manage_file_perms; 
files_tmp_filetrans(myapp_t , myapp_tmp_t , file) 

# 

\foce pode ver a partir do código de exemplo anterior que ha urna sintaxe especial usada no código de 
polltica. Para criar e modificar as regras de polltica, voce tera de entender a sintaxe da linguagemdelas; 
aprender a usar os compiladores de polltica do SELinux; aprender a agrupar arquivos de regras de 
polltica para formar módulos; e, provavelmente, precisara ter duas aulas de umdia de duraęao sobre o 
assunto. \foce poderia ser tentado a desistir do SELinux nesse momento. Mas e muito mais facil utilizar 
booleanos para modificar as pollticas. 


Gerenciando o SELinux via booleanos 

Escrever urna regra de polltica e criar um módulo do SELinux sao atividades bastante complicadas e 
demoradas. Criar regras de polltica incorretas poderia comprometer a seguranęa do sistema Linux. 
Felizmente, o SELinux fornece booleanos. 

Umbooleano e urna chave que alterna urna configuraęao entre ativada ou desativada. Urna chave 
booleana permite alterar partes das regras de polltica do SELinux sem que voce precise entender como 



escrever a politica. Essas mudanęas na politica tambem podem ser feitas sem reinicializar o sistema. 

Para ver urna lista de todos os booleanos atuais usados no SELinux, use o comando getsebool -a. 

Eis umexemplo das regras de politica do SELinux com booleanos emum sistema Linux Fedora: 

# getsebool -a 

abrt_anon_write --> off 
abrt_handle_event --> off 
allow_console_login --> off 

xserver_object_manager --> off 
zabbix_can_network --> off 

Para ver urna politica especifica que pode ser modificada por umbooleano, use mais urna vez o comando 
getsebool. Desta vez, o nome da politica e passado para ele, como mostrado no exemplo a seguir: 

# getsebool httpd_can_connect_ftp 

httpd_can_connect_ftp --> off 

Para alternar urna politica, voce pode usar o comando setsebool ou o comando togglebool. 
Ambos os comandos alterama regra da politica temporariamente. Quando o sistema e reinicializado, o 
booleano retornara a sua configuraęao original. Se for necessario tornar essa configuraęao, use apenas o 
setsebool coma opęao -P. 

O comando togglebool apenas alterna a configuraęao booleana atual da politica que voce especifica 
entre ativada e desativada. Por exemplo, se voce emitisse o comando togglebool 
httpd_can_connect_f tp, mudaria o status da configuraęao de politica a partir da definięao 
anterior de “desativado” para “ativado”. O comando setsebool temseis definięóes: tres para ativar 
urna politica (on, 1 ou true) e tres para desativar urna politica (off, 0 ou f alse). 

Para um exemplo usando setsebool, lembre-se do Capitulo 22, que nao e urna boa pratica de 
seguranęa permitir que os usuarios executemprogramas a partir do diretório /home. Normalmente, os 
programas executados pelos usuarios nesse local sao malwares. Para evitar que isso aconteęa, a regra de 
politica allow_user_exec_content precisa ser desativada. O exemplo a seguir mostra o comando 
setsebool sendo usado para fazer exatamente isso. Observe que a opęao -P e usada para tornar essa 
configuraęao permanente. 

# setsebool -P allow_user_exec_content off 

O comando getsebool verificara se a configuraęao booleana foi criada corretamente: 

# getsebool allow_user_exec_content 

allow user exec content --> off 


Booleanos tornama modificaęao das atuais regras de politica do SELinuxmuito mais facil. No geral, os 
utilitarios de configuraęao de linha de comando do SELinux, como getsebool, sao faceis de utilizar. 



Mas se voce quiser uma ferramenta de configuraęao GUI, o SELinux tem uma. Ela e instalada por meio 
do comando yum install policycoreutils-gui. No Ubuntu, use o comando sudo apt- 
get install policycoreutils. Para utilizar essa ferramenta de configuraęao, basta digitar o 
comando system-config-selinux e uma interface grafica aparece. 


Monitoramento e soluęao de problemas no SELinux 

O SELinux e outra ferramenta para monitorar o sistema. Ele registra todas as proibięóes de acesso, o que 
pode ajudar a determinar se umataque esta sendo tentado. Esses mesmos arquivos de log do SELinux 
tambem sao uteis para solucionar problemas no SELinux. 

Entendendo o registro em log do SELinux 

O SELinux usa um cache chamado Access Vector Cache (AVC) ao revisar as regras de politica para 
contextos especificos de seguranęa. Quando o acesso e negado, o que e chamado de negaęao AVC, uma 
mensagem de negaęao e armazenada em um arquivo de log. 

Essas mensagens de negaęao registradas em log podem ajudar a diagnosticar e tratar violaę5es rotineiras 
da politica do SELinux. O arquivo em que essas mensagens de negaęao sao registradas depende do 
estado dos daemons auditd e rsyslogd: 

■ Se o daemon auditd estiver emexecuęao, as mensagens de negaęao sao registradas em 

/var/log/audit/audit.log. 

■ Se auditd nao estiver emexecuęao, mas o daemon rsyslogd estiver emexecuęao, as 

mensagens de negaęao sao registradas em /var/log/messages. 


ta 

uditd e rsyslogd estiverem em execuęao e voce tiver o daemon setroubleshootd no seu sistema, 
ensagens de negaęao sao enviadas para os arquivos de log audit. log e messages. Mas informaęoes de 
igao no arquivo de log messages sao armazenadas em um formato mais compreensivel pelo daemon 

roubleshootd. 


Revisando mensagens SELinux no log de auditoria 

Se o daemon auditd estiver emexecuęao, voce podera ver rapidamente se as negaęóes AVC foram 
registradas usando o comando aureport. O exemplo a seguir mostra o uso de aureport e grep 
para procurar negaęóes AVC. Pelo menos uma negaęao foi registrada em 

/var/log/audit/audit.log: 


# aureport | grep AVC 

Number of AVC's: 1 







Depois de descobrir que urna negaęao AVC foi registrada em audit. log, voce pode usar ausearch 
para revisar a(s) mensagem(ns) de negaęao. O exemplo a seguir mostra o comando ausearch sendo 
usado para revisar a mensagem de negaęao AVC registrada emlog. 


# ausearch -m avc 

time->Sat Feb 25 09:18:07 2015 
type=SYSCALL msg=audit(1330179487.213:250): 
arch=40000003 syscall=226 success=no exit=-22 
a0=8cld8d8 al=4c6dblcb a2=8clec90 a3=lf items=0 
ppid=2582 pid=3053 auid=1000 uid=0 gid=0 euid=0 
suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 
ses=2 comm="chcon" exe="/usr/bin/chcon" 

sub j=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 
key=(nuli) 

type=AVC msg=audit(1330179487.213:250): avc: denied 
{ mac_admin | for pid=3053 comm="chcon" capability=33 
scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 
tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 
tclass=capability2 

Atela fornecera informaęóes sobre ąuemtentou o acesso, juntamente como contexto de seguranęa ao 
tentar isso. Palavras-chave a procurar emuma mensagem de negaęao AVC sao: 

■ type=AVC 

■ AVC: negado 

■ pid= 


■ exe= 


■ subj= 


Isso pode lhe dar dados suficientes para comeęar a corrigir um problema ou rastrear atividades 
maliciosas. 

Revisando mensagens SELinux no log de mensagens 

Se o rsyslogd estiver emexecuęao, voce podera encontrar mensagens de negaęao AVC pesąuisando o 
arquivo /var/log/messages usando grep. O exemplo a seguir mostra a pesquisa de mensagens de 
negaęao do SELinux. 

# grep "SELinux is preventing" /var/log/messages 

Feb 25 09:18:08 localhost setroubleshoot: SELinux is preventing 
/usr/bin/chcon from mac_admin access on the Nonę . For complete 
SELinux messages. 

run sealert -1 bl386ca2-6e83-4c29-b0db-a5470fa34f75 



Apartir do exemplo, voce pode ver que umusuario Linux tentou executar o comando chcon. Alem 
disso, observe que a mensagemde negaęao AVC informa que voce pode executar o comando sealert 
para obter mais informaęóes. A mensagem inclui essa informaęao porque, nesse sistema Linux em 
particular, o daemon setroubleshootd esta emexecuęao. 

O utilitario sealert permite obter mais informaęóes sobre urna determinada mensagemde negaęao 
AVC. O fermato de informaęao que sealert oferece ajudara a diagnosticar seus problemas. O exemplo 
a seguir mostra as informaęóes que sealert fornece emrelaęao a negaęao AVC, que foi mostrada no 
exemplo anterior. Observe que o comando usado e exatamente o mesmo comando sugerido a partir do 
arquivo de mensagemde log anterior. O numero longo usado no comando sealert eo numero de ID da 
mensagem de negaęao AVC. 

# sealert -1 bl386ca2-6e83-4c29-b0db-a5470fa34f75 

SELinux is preventing /usr/bin/chcon from mac_admin access on the 

Nonę . 

***** Plugin catchall (100. confidence) suggests ****************** 

If you believe that chcon should be allowed mac_admin access on the 

<Unknown> by default. 

Then you should report this as a bug. 

You can generate a local policy module to allow this access. 

Do 

allow this access for now by executing: 

# grep chcon /var/log/audit/audit.log | audit2allow -M mypol 

# semodule -i mypol.pp 

Additional Information: 

Source Context 

Cl 

Target Context 

cl 

Target Objects 

Source 

Source Path 

Port 

Host 

Source RPM Packages 


unconfined u:unconfined r:unconfined t:s 
sO:cO . 

023 

unconfined_u:unconfined_r:unconfined_t:s 
sO:cO . 

023 

[ Nonę ] 
chcon 

/usr/bin/chcon 

<Unknown> 

localhost.localdomain 
coreutils-8 .12-6.fcl6.i686 



Target RPM Packages 

Policy RPM selinux-policy-3.10.0-75.fcl6.noarch 

Selinux Enabled True 


Policy Type 


targeted 


Enforcing Modę 
Host Name 
Platform 


Alert Count 
First Seen 
Last Seen 
Local ID 


Enforcing 

localhost.localdomain 

Linux localhost.localdomain 3.2.7- 

1.fcl6.i686 #1 

SMP Tue Feb 21 01:38:57 UTC 2012 i686 i6 
1 

Sat 25 Feb 2015 09:18:07 AM EST 
Sat 25 Feb 2015 09:18:07 AM EST 
bl386ca2-6e83-4c29-b0db-a5470fa34f75 


Raw Audit Messages 

type=AVC msg=audit(1330179487.213:250): avc: denied 


\bce pode ver que ha urna grandę ąuantidade de informaęóes uteis na salda de sealert. Se o SELinux 
foi aplicado ao seu sistema, seria prudente tambemexecutar o daemon setroubleshootd. 

Solucionado problemas no registro em log do SELinux 

Obviamente, os arquivos de log sao extremamente importantes para diagnosticar e resolver as violaę5es 
da politica do SELinux. Os arquivos de log sao o primeiro passo na soluęao de problemas no SELinux. 
Assim, antes de tudo, e importante certificar-se de que seu sistema Linux registra emlog as mensagens. 

Urna maneira rapida de determinar se o registro em log esta ocorrendo e verificar se os daemons 
apropriados estao emexecuęao: auditd, rsyslogd e/ou setroubleshootd. Use umcomando 
apropriado, como systemctl status auditd. service. E claro, o comando que voce usa 
depende da distribuięao e versao do Linux. Consulte no Capitulo 15 mais detalhes. Se o daemon nao 
estiver em execuęao, inicie-o de modo que o registro em log possa comeęar a ocorrer. 


jnęao 

5zes negaęoes AVC nao registradas em log por causa das regras de politica de dontaudit. Embora as regras 
taudit ajudem a reduzir os falsos positivos nos logs, elas podem interferir negativamente na soluęao de 
lemas. Para corrigir isso, desative temporariamente todas as regras de politica dontaudit usando o comando 

lodule -DB. 


Agora voce pode foręar urna negaęao AVC falsa emitindo um comando que voce sabe que vai gerar urna 
negaęao, como chcon -u f ake u nome_do_arquivo a partir de urna conta que nao seja de 






administrador. Emitir umcomando chcon a partir de uma conta de usuario nao administrador deve gerar 
a mensagemde teste desejada. Agora, revise o(s) arquivo(s) de log apropriado(s) para ver se uma 
mensagem de negaęao AVC foi gerada. 


Solucionando problemas comuns do SELinux 

Ao comeęar a trabalhar como SELinux, e facil ignorar o óbvio. Qualquer que seja o acesso negado, voce 
primeiro deve verificar as permissóes DAC “tradicionais” do Linux. Por exemplo, use o comando ls - 
1 e verifique duas vezes se o proprietario de um arquivo, grupo e atribuięóes de leitura, gravaęao e 
execuęao estao corretos. 

Como SELinux, varios itens comuns podemcausar problemas: 

■ Usar um diretório nao padrao para um servięo 

■ Usar uma porta nao padrao para um servięo 

■ Mover arquivos que resultam na perda dos seus rótulos do contexto de seguranęa 

■ Configurar booleanos incorretamente 

Cada umdesses problemas pode ser resolvido bemrapidamente. 

Usarum diretório nao padrao para um servięo 

Por varias razóes, talvez voce decida armazenar os arquivos de um servięo em um diretório nao padrao. 
Ao fazer isso, o SELinux precisa saber que esse comportamento nao padrao ocorreu. Do contrario, ele 
negara o acesso a solicitaęóes legltimas de acesso a servięos. 

Por exemplo, voce decidiu manter seus arquivos HTML em um 1 ocal diferente do /var/www/html 
padrao. \bce armazena os arquivos em /srv/www/html. O SELinuxprecisa saber que voce quer que 
o servięo http seja capaz de acessar os arquivos dentro de /srv/www/html. Os comandos para 
fazer isso sao semanage e restorecon. Aseguir, os comandos sao usados para adicionar o tipo 
apropriado de contexto de seguranęa ao diretório /srv/www/html e tudo que ele contem: 

# semanage fcontext -a -t httpd_sys_content_t "/srv/www/html (/.*)?" 

Para realmente definir o novo tipo do contexto de seguranęa para os arquivos dentro do diretório, voce 
precisara usar o comando restorecon -R. Isso e feito desta maneira: 

# restorecon -R -v /srv/www/html 

Agora, o daemon httpd tempermissao para acessar seus arquivos HTML em um diretório local nao 
padrao. 

Usar uma porta nao padrao para um servięo 

Semelhante ao problema recem-descrito, talvez voce decida que um servięo ouęa em uma porta nao 
padrao. Ao fazer essa alteraęao de porta, o servięo frequentemente nao inicializa. 



Por exemplo, para fins de seguranęa, voce decide mover sshd da porta 22 para urna porta nao padrao, 
47347. O SELinux nao conhece essa porta e o servięo nao sera iniciado. Para corrigir esse problema, 
voce deve primeiro encontrar o tipo de contexto de seguranęa para sshd. Isso e feito usando o código a 
seguir emitindo o comando semanage port -1 e redirecionando os resultados para grep a firn de 
procurar ssh. 

# semanage port -1 | grep ssh 

ssh_port_t tcp 22 

No exemplo anterior, voce pode ver que o tipo de contexto necessario e ssh port t. Agora, usando o 
comando semanage novamente, voce adiciona esse tipo a porta 47347, como mostrado aqui: 

# semanage port -a -t ssh_port_t -p tcp 47347 

Nesse ponto, voce deve ser capaz de iniciar o sshd na porta nao padrao 47347. 

Movendo arquivos e perdendo rótulos de contexto de seguranęa 

Voce usou o comando cp para mover alguns arquivos temporariamente para um novo diretório. Entao, 
voce usou o comando mv para coloca-los de volta. Agora, os arquivos tern o contexto de seguranęa do 
diretório temporario em vez do contexto original de seguranęa e seu sistema recebe mensagens de 
negaęao AVC. 

Isso e facil de corrigir, graęas ao comando restorecon -R. Basta digitar restorecon -R 
diretório_original e os arquivos como contexto original de seguranęa serao restaurados. 

Booleanos definidos incorretamente 

Outro problema comume simplesmente configurar umbooleano incorretamente. Isso pode lhe dar varias 
negaęóes AVC. 

Por exemplo, se os Scripts do sistema nao mais sao capazes de se conectar a rede e voce esta recebendo 
negaęóes AVC nos registros emlog, voce precisara verificar os booleanos httpd. Use o comando 
get sebool -a e direcione-o para grep a firn de procurar quaisquer booleanos que afetam httpd. 

O exemplo aqui mostra que esses comandos estao emuso: 

# getsebool -a | grep http 
httpd_can_network_connect --> off 


O comando getsebool mostra que o booleano httpd_can_network_connect esta desativado. 
Para alterar esse booleano, use o seguinte comando: setsebool -P 

httpd_can_network_connect on. Observe que a opęao -P foi usada para tornar a configuraęao 
permanente. Agora, os Scripts devem ser capazes de se conectar a rede. 



A medida que voce encontra varios problemas com o SELinux, suas habilidades de soluęao de problemas 
vao melhorar. Enąuanto isso, eis umexcelente recurso para ajuda-lo a solucionar problemas, 
http : //docs . redhat. com. O documento do Red Hat “Red Hat Enterprise Linux” temumcapitulo 
inteiro (Capitulo 8) dedicado a soluęao de problemas do SELinux. 


Juntandotudo 


Obviamente, o SELinux e urna ferramenta bem rica e complicada. \bce agora tem urna boa e solida base 
sobre os conceitos basicos do SELinux. Eis algumas recomendaęóes para voce comeęar a implementar o 
SELinux no seu sistema. 

■ Comece com a fasę de Pianej amento do Ciclo de Vida do Processo de Seguranęa (ver Capitulo 

22). Isso nao e urna ferramenta de seguranęa que voce pode usar sem pianej amento. \foce precisa 
determinar os papeis organizacionais, quemestara nesses papeis e atribuir niveis de autorizaęao; 
determinar umnivel de classificaęao de um objęto individual etc. 

■ Use urna matriz de controle de acesso (ver Capitulo 22). 

Urna matriz de controle de acesso ira ajuda-lo a implementar os papeis determinados, niveis de 
autorizaęao e os tipos; atribuir os diversos contextos de seguranęa do SELinux e modificar as 
regras de acesso. 

■ Comece com o modo operacional permissivo. 

Execute seu sistema atual por umperiodo de tempo significativo no modo Permissive. Revise os 
logs e veja quais problemas poderiam ocorrer com as configuraędes padrao do SELinux. Depois 
de revisar os problemas, ative o modo Enforcing. 

■ Altere urna coisa de cada vez. 

De maneira geral, implemente as mudanęas de configuraęao do SELinux urna de cada vez, em um 
ambiente de teste ou usando o modo Permissive. Veja que tipo de efeito cada alteraęao de 
configuraęao tem antes de passar para a próxima. 

Obtendo informaęoes adicionais sobre o SELinux _ 

Ha varias fontes de informaęóes adicionais para ajuda-lo com o SELinux no seu sistema Linux: 

■ Paginas man do seu sistema — Emita o comando man -k selinux para encontrar todas as 

varias paginas man que voce pode revisar para os utilitarios SELinux atualmente instalados no 
seu sistema. 

■ Documentaęao do módulo das politicas do SELinux do seu sistema — Para visualizar essa 

documentaęao, abra o navegador do sistema e digite o seguinte URL: 

http:///usr/share/docs/selinux-policy-selinuxversion#/index.html. 





■ Manuais do Red Hat Enterprise Linux — Localizado em http : / /docs . redhat. com, esse 

site contem um manuał inteiro sobre o SELinux. 

■ The Fedora Project SELinux Guide — Localizado em 

http : / /docs . f edorapro j ect. org, esse site tern um Security-Enhanced Linux Guide. 
Mas o guia nao esta atualizado para cada versao do Fedora, assim, talvez voce precise examinar 
as vers5es mais antigas para encontra-lo. Alem disso, o SELinux Guide nao esta localizado no 
manuał Security, mas o manuał Security tambem e um bom manuał para revisar. 

■ SELinux no Ubuntu — Como ha diferenęas sutis entre o SELinux no RHEL/Fedora e no Ubuntu, o 

site https : //wiki . ubuntu . com/SELinux fornece ajuda adicional de que voce precisa. 

■ SELinux Project Wiki — Essa e a pagina oficial do projeto SELinux. Ha varios recursos nesse 

site, que esta localizado em http : / / selinuxpro j ect. org. 

■ SELinux News — Assim como parece, ha noticias atuais sobre o SELinux em 

http://selinuxnews.org. 


Resumo 


Proteger seu servidor Linux e critico e o SELinux pode aj udar. O SELinux fornece urna melhoria de 
seguranęa para o Linux e e instalado por padrao em muitas distribuięóes do Linux. Neste capitulo, voce 
aprendeu os beneficios do SELinux; como ele funciona; como configura-lo; como corrigir os varios 
problemas com o SELinux; e como obter informaęóes adicionais sobre essa importante melhoria de 
seguranęa. 

O SELinux fornece a capacidade de implementar os modelos de controle aprimorados — MAC e RBAC 
— alem do DAC Linux padrao. Ele oferece melhor seguranęa usando recursos de seguranęa importantes, 
como o acesso menos privilegiado e caixa de areia de processo. Esses recursos sozinhos tornam o 
SELinux um claro yencedor no aprimoramento de seguranęa. 

A primeira vista, o SELinux parece bastante complicado. Mas urna vez dividido nos seus varios 
componentes, modos operacionais, contextos de seguranęa, tipos de politica e pacotes de politica, voce 
pode ver como as varias partes funcionamemconjunto. Cada componente desempenha um papel 
importante para aplicar e testar os requisitos de seguranęa escolhidos para sua organizaęao. 

Abce aprendeu as varias etapas para configurar o SELinux. Embora o SELinux venha pre-configurado, 
talvez voce precise fazer algumas modificaębes para atender as necessidades de seguranęa da sua 
organizaęao. Cada componente tern seus próprios passos de configuraęao e definiębes a escolher. 

Embora a criaęao de regras de politica nao tenha sido discutida, voce aprendeu a modificar as politicas 
fornecidas por meio de booleanos. 

O SELinux fornece outra ferramenta para monitorar a seguranęa do sistema Linux. Como o SELinux 
registra emlogtodas as negaębes de acesso, ele pode ajuda-lo a determinar se umataque foi ouesta 
sendo tentado. Ate mesmo os melhores planos podem dar errado. Portanto, neste capitulo, voce aprendeu 
a corrigir problemas comuns de configuraęao do SELinux. 

Urna vez que aprender a configurar, usar e manter o SELinux pode ser bem trabalhoso, e importante saber 




onde voce pode obter informaędes adicionais sobre o SELinux. Este capitulo, juntamente comas fontes 
adicionais uteis incluidas, deve fazer com que voce comece a configurar e usar praticamente o Security 
Enhanced Linux para melhorar a seguranęa do seu sistema Linux. 

No próximo capitulo, veremos como proteger seu sistema Linux emuma rede. Discutiremos como 
controlar o acesso, gerenciar firewalls e proteger o acesso remoto. 


Bcercicios 


Use estes exercicios para testar seus conhecimentos de como usar o SELinux. Essas tarefas supóem que 
voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem 
funcionem em outros sistemas Linux). Se voce empacar, soluęóes para as tarefas sao mostradas no 
Apendice B (embora no Linux costume haver varias maneiras de fazer urna tarefa). 

L Sem fazer alteraęóes no arquivo primario de configuraęao do SELinux, anote o comando 
para configurar o sistema no modo Permissive Operating para o SELinux. 

2 - Sem fazer alteraęóes no arquivo primario de configuraęao do SELinux, anote o comando 
para configurar o sistema no modo de operaęao Enforcing para o SELinux. (Atenęao: E 
melhor só executar esse comando no seu sistema para um exercicio depois que voce estiver 
pronto para impor o SELinux.) 

3 - Qual e o tipo atual de politica do SELinux definido no seu sistema e como voce o 
encontrou? 

4 - Listę o contexto de seguranęa de um arquivo e identifique os diferentes atributos de contexto 
de seguranęa. 

5 - Qual comando alteraria o atributo type de umarquivo? (Atenęao: Só emita o comando no 
seu sistema se voce quiser alterar o tipo do arquivo.) 

6 - Listę o contexto de seguranęa do processo atual e identifique os diferentes atributos do 
contexto de seguranęa. 

7 - Que comando restauraria o contexto do arquivo padrao do SELinux de um arquivo? 
(Atenęao: Só execute esse comando no seu sistema se voce conhecer seus efeitos.) 

8 - Listę os booleanos atuais usados no seu sistema. Anote um comando para modificar um 
deles. 

Qual comando listaria todos os módulos de politica do SELinux no seu sistema, juntamente 
com os respectivos numeros de versao? 

10 - Crie urna mensagem de negaęao AVC e entao revise-a no(s) log(s) usando as ferramentas 
apropriadas. 




CAPITU^g 


Protegendo o Linux 
em uma rede 

NESTECAPITULO 

Gerenciando servięos de rede 
Controlando o acesso aos servięos de rede 
Implementando firewalls 

C onfigurar o sistema Linux em uma rede, especialmente em uma rede publica, cria todo um novo 

conjunto de desafios ąuando se trata de seguranęa. Amelhor maneira de proteger seu sistema Linux 
e mante-lo fora de todas as redes. Mas isso raramente e uma opęao viavel. 

Livros inteiros estao cheios de informaęóes sobre como proteger um sistema de computador em uma 
rede. Muitas organizaęóes contratam em tempo integral administradores de seguranęa de computadores 
para monitorar os sistemas Linux conectados a uma rede. Portanto, pense neste capitulo como uma 
introduęao breve para proteger o Linux emuma rede. 

Um ponto de partida para aprender sobre seguranęa de rede e entender o modelo OSI. Cada rede funciona 
em uma serie de camadas, chamadas de modelo de referenda Open Systems Interconnection (OSI) (ver 
Figura 25.1). O modelo consiste em sete camadas, cada uma representando o processo de transferir 
pacotes de dados entre um remetente e um receptor. 

O modelo OSI e uma representaęao conceitual. Muitos protocolos reais de rede operam em varias 
camadas emvez de se moverememuma linha reta entre uma fasę e outra. Mas esse modelo e muito util 
para fins de seguranęa. \bce pode obter uma visao geral das varias fases das comunicaęóes em rede que 
devem ser mantidas seguras para o servidor Linux. 



RA 25.1 


delo de referenda OSI. 


Auditando seryjęos de rede _ 

A prindpal funęao do sistema Linux e oferecer servięos. Um servięo de rede e qualquer tarefa que o 
computador executa exigindo que ele envie e receba informaęóes pela rede utilizando umconjunto pre- 
definido de regras. Encaminhar e-mails e umservięo de rede, assimcomo entregar paginas web tambem 
e. 

Umservidor Linuxterno potencial de fornecer milhares de servięos. Muitos deles estao listados no 
arquivo /etc/services. Considere as seguintes seęóes do arquivo /etc/services: 

$ cat /etc/services 

# /etc/services: 

# $Id: services,v 1.53 2011/06/13 15:00:06 ovasik Exp $ 

# 

# Network services, Internet style 

# IANA services version: last updated 2011-06-10 

# 

# Notę that it is presently the policy of IANA to assign 
a single well-known 

# port number for both TCP and UDP; hence, most entries 
here have two entries 

# even if the protocol doesn't support UDP operations. 

# Updated from RFC 1700, "Assigned Numbers" (October 1994). 

Not all ports 

# are included, only the morę common ones. 

# 

# The latest IANA port assignments can be gotten from 

# http://www .iana.org/ assignments/port-numbers 

# The Weil Known Ports are those from 0 through 1023. 

# The Registered Ports are those from 1024 through 49151 

# The Dynamie and/or Private Ports are those from 49152 
through 65535 

# 

# Each linę describes one service, and is of the form: 

# 





# service-name port/protocol [aliases ...] [# comment] 


echo 

7 /tcp 



echo 

7 /udp 



discard 

9/tcp 

sink nuli 


discard 

9/udp 

sink nuli 


systat 

11/tcp 

users 


systat 

11/udp 

users 


daytime 

13/tcp 



daytime 

13/udp 



qotd 

17/tcp 

quote 


qotd 

17/udp 

quote 


chargen 

19/tcp 

ttytst source 


chargen 

19/udp 

ttytst source 


ftp-data 

2 0/tcp 



ftp-data 

2 0/udp 



# 21 is registered 

to ftp, but also 

used by fsp 


ftp 

21/tcp 



http 

8 0/tcp 

www www-http 

# 

WorldWideWeb 

HTTP 

http 

8 0/udp 

www www-http 

# HyperText 
Transfer 

Protocol 

http 

80/sctp 


# HyperText 
Transfer 

Protocol 

kerberos 

8 8/tcp 

kerberos5 krb5 

# Kerberos 
v5 

kerberos 

8 8/udp 

kerberos5 krb5 

# Kerberos 
v5 

blp5 

4 812 9/udp 


# Bloomberg 
locator 

com-bardac-dw 

48556/tcp 


# com- 



com-bardac-dw 


48556/udp 


iqobj ect 
iqobj ect 


4 8 619/tcp 
4 8 619/udp 


bardac-dw 

# com- 
bardac-dw 

# iqobject 

# iqobject 


Após as linhas de comentario, voce obseryara tres colunas de informaęóes. Acoluna esąuerda contemo 
nome de cada servięo. A coluna do meio define o numero da porta e o tipo de protocolo usado para esse 
servięo. A coluna da direita contem um alias opcional ou lista de aliases para o servięo. 

Muitas distribuięóes do Linux vem com servięos de rede desnecessarios em execuęao. Um servięo 
desnecessario exp5e o sistema Linux a ataąues maliciosos. Por exemplo, se o servidor Linux for um 
servidor de impressao, entao ele só deve oferecer servięos de impressao. Ele nao deve tambem oferecer 
servięos Apache Web. Isso só exporia desnecessariamente o servidor de impressao a ataąues maliciosos 
que se aproyeitam das yulnerabilidades do seryięo web. 


Avaliando o acesso aos servięos de rede 

Umdos resultados da fasę de Pianej amento do Ciclo de Vida da Seguranęa e urna “lista de verificaęao 
dos softwares e seryięos necessarios” (consulte o Capltulo 22, “Entendendo seguranęa basica no Linux”, 
para ver urna descrięao). Usando essa lista de yerificaęao, voce precisa rever e remover seryięos do 
ponto de vista do host (ver Capitulo 15, “Iniciando e parando seryięos”) e do ponto de vista da rede. 

Alemdisso, voce deve revisar a forma como os seryięos de rede necessarios sao “anunciados”. Se o 
seryidor Linux precisa oferecer um seryięo de rede como Secure Shell, apenas aąueles autorizados pela 
organizaęao precisam saber que ele esta la. 

Usando nmap para criar uma lista de servięos de rede 

Urna ferramenta maravilhosa para ajuda-lo a revisar os seryięos de rede a partir de um ponto de vista de 
rede e o scanner de seguranęa nmap. O utilitario nmap esta disponiyel na maioria dos repositórios de 
distribuięao do Linux e tern uma pagina web repleta de informaęóes em http : / /nmap . org. 

Para instalar o nmap em uma distribuięao do Fedora ou do RHEL, use o comando yum (usando 
privilegios root), como mostrado no exemplo a seguir. 

# yum install nmap 

Loaded plugins: langpacks, presto, refresh-packagekit 

Setting up Install Process 

Resolving Dependencies 

--> Running transaction check 

-> Package nmap.i686 2:5.51-1.fcl6 will be installed 

--> Finished Dependency Resolution 


Dependencies Resolved 



Install 


1 Package 


Installing : 2:nmap-5.51-1.fcl6.i686 1/1 
Installed: 

nmap.i686 2:5.51-1.fcl6 
Complete! 

Para instalar o utilitario nmap em urna distribuięao do Ubuntu, digite sudo apt-get install nmap na linha 
de comando. 

O nome completo do utilitario nmap e “NetWork Mapper”. Ele tern uma variedade de usos para 
auditorias de seguranęa e exploraęao de rede. As diferentes varreduras de portas do nmap permitemver 
quais servięos estao em execuęao em todos os servidores na rede local e se eles estao anunciando suas 
disponibilidades. 


ta 

le e uma porta? Uma porta ou, mais corretamente, uma porta de rede, e urn valor numerico utilizado pelo 
jcolo de rede TCP/IP para identificar os servięos que podem estar disponfveis em urn sistema. Por exemplo, a 
j 80 e a porta de rede padrao para o servięo web Apache. Pense em uma porta de rede como uma porta para seu 
dor Linux. Cada porta e numerada e atras de cada uma ha urn servięo especifico esperando ajudar quem quer 
bata nessa porta. Por razoes de seguranęa, se o servidor nao deve oferecer esse servięo, voce quer que quem 
encontre uma parede de tijolos atras da porta desse servięo. 


Para auditar as portas do seu servidor, o utilitario nmap oferece varios tipos de verificaęao uteis. O site 
nmap tern um manuał completo sobre todas as tecnicas de varredura de porta que voce pode usar em 
http : / /nmap . org/book/man-port-scanning-techniques . html. Eis duas varreduras 
basicas de porta para voce comeęar a auditar um servięo: 

■ Varredura de porta de conexao TCP — Para essa varredura, o nmap tenta um Transmission 
Control Protocol (TCP) para conectar-se as portas no servidor. Se uma porta estiver ouvindo, a 
tentativa de conexao sera bem-sucedida. 

O TCP e umprotocolo de rede usado no conjunto de protocolos TCP/IP. Seu objetivo principal e 
negociar uma conexao usando o que e chamado de “handshake de tres vias”. O TCP envia um 
pacote de sincronizaęao (SYN) para umservidor remoto, determinando umnumero especifico de 
porta no pacote. O servidor remoto recebe o SYN e responde comum pacote de confirmaęao 
(SYN-ACK) para o computador de origem O servidor original entao reconhece (ACK) a 
resposta e uma conexao TCP e estabelecida oficialmente. Esse handshake de tres vias e muitas 
vezes chamado SYN-SYN-ACK ou SYN, SYN-ACK, ACK. 

Se voce selecionar uma varredura de porta TCP Connect, o utilitario nmap usa esse handshake de 
tres vias para fazer um pouco de atividade investigativa em um servidor remoto. Quaisquer 






servięos que usam o protocolo TCP responderao a varredura. 


■ Varredura de porta UDP — Para essa yarredura, o nmap envia um pacote UDP para cada porta 
no sistema que esta sendo varrido. O UDP e outro protocolo popular no conjunto de protocolos 
TCP/IP. Se a porta estiver ouvindo e tiver um servięo que usa o protocolo UDP, ela respondera a 
yarredura. 


:a 

a em mente que utilitarios Free e Open Source Software (FOSS) tambem estao disponweis para aqueles com 
igóes maliciosas. Ao fazer essas varreduras de nmap, entenda que os resultados da varredura remota que voce 
ara o servidor Linux sao os resultados da mesma varredura que outras pessoas verao. Isso vai ajuda-lo a avaliar as 
guraęóes de seguranęa do seu sistema em termos da quantidade de informaęóes disponibilizadas para 
duras de portas. 


Ao executar o utilitario nmap, ele fornecera um pequeno relatório util com informaęóes sobre o sistema 
que esta yarrendo e as portas que ele ve. As portas recebem um status de “estado”. O nmap informa seis 
posslveis estados de porta: 

■ open — Esse e o estado mais perigoso que urna yarredura de nmap pode relatar para urna porta. 

Urna porta open indica que um seryidor tern um seryięo que trata de solicitaęóes de seryięo 
nessa porta. Pense nisso como um sinal na porta, “Entre! Estamos aqui para ajuda-lo”. 

■ closed — Esse e um estado mais apropriado do que open. A porta closed e acesslvel, mas 

nao ha nenhum seryięo esperando no outro lado dela. No entanto, o status da yarredura ainda 
indica que ha um seryidor Linux nesse endereęo IP particular. 

■ filtered — Esse e o melhor estado para urna porta. Ele nao pode determinar se a porta esta 

open ou ate mesmo se um seryidor Linux esta no endereęo IP yarrido. Um scanner malicioso 
ganharia poucas informaęóes. Normalmente e necessario umfirewall (discutido na seęao 
“Trabalhando com firewalls” mais adiante, neste capitulo) para obter esse status que o nmap 
relatou em urna porta. 

■ unf iltered — A yarredura de nmap ve a porta, mas nao pode determinar se a porta esta open 

ou closed. 

■ open| filtered — A yarredura de nmap ve a porta, mas nao pode determinar se a porta esta 

open ou filtered. 

■ closed | filtered — A yarredura de nmap ve a porta, mas nao pode determinar se a porta 

esta closed ou filtered. 


Para ajuda-lo a entender melhor como usar o utilitario nmap, revise o exemplo a seguir. Para propósitos 
de construęao de urna lista de seryięos, as yarreduras de exemplo de nmap sao realizadas em um sistema 
Fedora. A primeira yarredura e urna TCP Connect a partir da linha de comando, usando o endereęo de 
loopback, 127.0.0.1. 






# nmap -sT 127.0.0.1 

Starting Nmap 5.51 ( http://nmap.org ) at 2015-03-22 10:33 EDT 

Nmap scan report for localhost.localdomain (127.0.0.1) 

Host is up (0.016s latency). 

Not shown: 998 closed ports 

PORT STATE SERVICE 

25/tcp open smtp 

631/tcp open ipp 

Nmap done: 1 IP address (1 host up) scanned in 1.34 seconds 

Avarredura TCP Connect nmap informa que duas portas TCP estao abertas e tem seryięos ouvindo na 
porta: 

■ O Simple Mail Transfer Protocol (SMTP) ouve na porta 25. 

■ O Internet Printing Protocol (IPP) ouve na porta 631. 

A próxima varredura de nmap e urna UDP no endereęo loopback do sistema Fedora. 

# nmap -sU 127.0.0.1 

Starting Nmap 5.51 ( http://nmap.org ) at 2015-03-22 10:36 EDT 

Nmap scan report for localhost.localdomain (127.0.0.1) 

Host is up (0.00048s latency). 

Not shown: 997 closed ports 

PORT STATE SERVICE 

68/udp open|filtered dhcpc 

631/udp open|filtered ipp 

Nmap done: 1 IP address (1 host up) scanned in 2.24 seconds 

A varredura UDP nmap relata que duas portas UDP estao abertas e tern seryięos ouvindo na porta: 

■ O cliente Dynamie Host Control Protocol (dhcpc) ouve na porta 68. 

■ O Internet Printing Protocol (ipp) ouve na porta 631. 

Obserye que o IPP da porta 631 e listado tanto na yarredura TCP Connect do nmap como na yarredura 
UDP, porque o protocolo IPP usou o protocolo TCP e o protocolo UDP e, portanto, e listado nas duas 
yarreduras. 

Usando essas duas yarreduras de nmap simples, TCP Connect e UDP, no endereęo de loopback, voce 
pode construir urna lista dos seryięos de rede oferecidos pelo seryidor Linux. Depois de construir a lista, 



compare-a com a “lista de verificaęao de softwares e servięos necessarios” que voce criou no Capitulo 
22. Quaisquer servięos de rede que nao estao na “lista de verificaęao de software e servięos 
necessarios” devemser desativados no servidor Linux (ver Capitulo 15). 

Usando nmap para auditar anuncios dos servięos de rede 

Para alguns servięos de rede do Linux, voce quer chamar muita atenęao. Para outros servięos de rede, 
voce quer chamar a atenęao de um grupo seleto e autorizado. \bce precisa saber como seus servięos de 
rede sao anunciados. Emoutras palavras, voce quer saber se scanners maliciosos podemver as portas de 
rede do seu servidor Linux e os servięos que elas oferecem. 

A ideia aqui e comparar o que o servidor Linux se parece internamente com o que ele se parece 
externamente. Se determinar que umnumero excessivo de servięos de rede vulneraveis e anunciado, voce 
pode tomar medidas para que eles nao sejamvistos. 


a 

poderia ser tentado a pular as varreduras da rede interna dentro da organizaęao. Nao faęa isso. Atividades 
iosas frequentemente ocorrem a partir de funcionarios da própria empresa ou por alguem que ja penetrou as 
;as externas. 


Mais urna vez, o utilitario nmap sera urna grandę ajuda aqui. Para ter urna visao adequada de como as 
portas do seu servidor Linux sao vistas, voce precisara realizar varreduras a partir de varios locais. Por 
exemplo, urna auditoria simples faria com que as varreduras ocorressem: 

■ no próprio servidor Linux. 

■ a partir de outro servidor na mesma rede da organizaęao. 

■ a partir de fora da rede da organizaęao. 

Nos exemplos a seguir, parte de urna auditoria simples e realizada. O utilitario nmap e executado emum 
sistema Fedora, designado como “Host-A”. O Host-A e o servidor Linux cujos servięos de rede devem 
ser protegidos. O Host-B e um servidor Linux, utilizando a distribuięao Linux Mint, e esta na mesma rede 
que o Host-A. 




onfiguraęóes de seguranęa em varios componentes de rede, como o firewall do servidor e os roteadores da 
resa, devem ser co ns id e rad as ao realizar varred u ras de auditoria. 


Para esse exemplo de auditoria, urna varredura e executada a partir do Host-A, usando nao o endereęo de 
loopback, mas o endereęo IP real. Primeiro, o endereęo IP para o Host-A e determinado usando o 
comando if config. O endereęo IP e 10.140.67.23. 









# ifconfig 


lo Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 
inec6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MXU:1€43£ Hetric:! 

RX packets:4 errors:0 dropped:0 overruns:0 frane:0 
XX packets:4 errors:0 dropped:0 overruns:0 carrier:0 
collisicns:0 txqueuelen:0 

RX byte3:240 (240.0 b) XX bytes:240 (240.0 b) 

p2pl Link encap:Ethernet HWaddr 08 :00:27:E5:8S:5A 
inet addr:10.140.67.23 
Bcaat:10.140.£7.255 Mask:255.255.255.0 


inet6 addr: fe80::aOO:27ff:fee5:895a/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:81 errors:0 dropped:0 overruns:0 framę:0 
TX packets:102 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:50015 (48.8 KiB) TX bytes:14721 (14.3 KiB) 

Agora, usando o endereęo IP do Host-A, urna varredura TCP Connect nmap e emitida a partir do Host-A. 
A varredura de nmap vai ate a rede para realizar a yarredura. Todas as portas sao reportadas como 
tendo um status de closed. 

# nmap -sT 10.140.67.23 

Starting Nmap 5.51 ( http://nmap.org ) at 2015-03-22 10:33 EDT 

Nmap scan report for 10.140.67.23 

Host is up (O.OlOs latency). 

Ali 1000 scanned ports on 10.140.67.23 are closed 

Nmap done: 1 IP address (1 host up) scanned in 1.48 seconds 

A yarredura de nmap e movida da origemno Host-A para a origem em um Host-B. Agora, a yarredura 
TCP Connect e tentada nas portas do Host-A a partir da linha de comando do Host-B. 

$ nmap -sT 10.140.67.23 

Starting Nmap 5.21 ( http://nmap.org ) at 2015-03-22 05:34 HADT 

Notę : Host seems down. If it is really up, 
but blocking our ping probes, try -PN 

Nmap done: 1 IP address (0 hosts up) scanned in 0.11 seconds 

Aqui, nmap da urna dica util. O Host-A parece estar parado, ou ele simplesmente poderia estar 
bloąueando as sondagens. Entao, outra yarredura de nmap e tentada a partir do Host-B, usando conselho 
de nmap para desatiyar as sondagens de ping da yarredura por meio da opęao - PN. 


$ nmap -sT -PN 10.140.67.23 

Starting Nmap 5.21 ( http://nmap.org ) at 2015-03-22 05:55 HADT 



Nmap scan report for 10.140.67.23 


Host is up (0.0015s latency). 

Ali 1000 scanned ports on 10.140.67.23 are filtered 

Nmap done: 1 IP address (1 host up) scanned in 5.54 seconds 

\bce pode ver que o Host-A (10.140.67.23) esta funcionando e executando e todas as suas portas temum 
status de filtered. Isso significa que ha umfirewall no Host-A. Essas varreduras do Host-B fornecem 
urna ideia melhor do que um scanner malicioso poderia ver ao varrer seu servidor Linux. Nesse exemplo, 
o scanner malicioso nao ve muita coisa. 


ta 

Dce estiverfamiliarizado com o nmap, sabe que a varredura TCP SYN e a padrao que o nmap usa. A varredura 
SYN faz um excelente trabalho de sondar um sistema remoto de forma furtiva. Como voce esta sondando seu 
rio sistema para fins de auditoria de seguranęa, faz sentido usar as varreduras mais “pesadas” do utilitario 
p. Se voce ainda quiserusara varreduraTCP SYN, o comando e nmap -sS ip address. 


Os servięos atualmente emexecuęao no Host-A nao sao tao “interessantes”. Assim, no exemplo a seguir, 
outro servięo, ssh, e iniciado no Host-Ausando o comando systemctl (ver Capitulo 15). Isso deve 
dar ao utilitario nmap um alvo mais interessante a procurar. 

# systemctl start sshd.service 

# 

# systemctl status sshd.service 

sshd.service - OpenSSH server daemon 

Loaded: loaded (/lib/systemd/system/sshd.service; disabled) 
Active: active (running) sińce 
Thu, 22 Mar 2015 10:57:24 -0400; 12s ago 

Main PID: 1750 (sshd) 

CGroup: name=systemd:/system/sshd.service 
1750 /usr/sbin/sshd -D 

# 

Alem disso, como o firewall do Host-A esta bloqueando as varreduras de nmap do Host-B, seria 
interessante ver o que urna varredura de nmap pode relatar quando o firewall esta desativado. O 
exemplo a seguir mostra o firewall sendo desativado no Host-A: 

# systemctl stop iptables.se rvice 

# 

# systemctl status iptables.se rvice 

iptables.service - IPv4 firewall with iptables 






Loaded: loaded (/lib/systemd/system/iptables.service; enabled) 

Active: inactive (dead) sińce 

Thu, 22 Mar 2015 11:21:28 -0400; 8s ago 

Process: 1806 ExecStop=/usr/libexec/iptables.init stop 

(code=exited, status=0/SUCCESS) 

Process: 656 ExecStart=/usr/libexec/iptables.init start 
(code=exited, status=0/SUCCESS) 

CGroup: name=systemd:/system/iptables.service 

Com um novo servięo em execuęao e um mvel baixo de proteęao no firewall do Host-A, as varreduras de 
nmap devem encontrar algo. Na parte a seguir, as varreduras de nmap sao executadas novamente a partir 
do Host-B. Dessa vez, o utilitario nmap mostra o servięo ssh emexecuęao na porta aberta 22. Observe 
que com o firewall desativado no Host-A, ambas as varreduras de nmap capturam muito mais 
informaęóes. Isso realmente demonstra a importancia do firewall do seu servidor Linux. 

$ nmap -sT 10.140.67.23 

Starting Nmap 5.21 ( http://nmap.org ) at 2012-03-22 06:22 HADT 

Nmap scan report for 10.140.67.23 
Host is up (0.016s latency). 

Not shown: 999 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

Nmap done: 1 IP address (1 host up) scanned in 0.40 seconds 

$ 

$ sudo nmap -sU 10.140.67.23 

[sudo] password for johndoe: *************** 

Starting Nmap 5.21 ( http://nmap.org ) at 2012-03-22 06:22 HADT 

Nmap scan report for 10.140.67.23 
Host is up (0.00072s latency). 

Not shown: 997 closed ports 

PORT STATE SERVICE 

68/udp open|filtered dhcpc 

631/udp open|filtered ipp 

Nmap done: 1 IP address (1 host up) scanned in 1081.83 seconds 

Para realizar urna auditoria completa, nao se esąueęa de incluir a varredura UDP. Alem disso, ha 
yarreduras de nmap adicionais que podem ser beneficas para sua organizaęao. De urna olhada no site do 



utilitario nmap para outras sugestdes. 


jnęao 

oce tiver seguido o processo e reduziu o mvel de proteęao no firewall do seu servidor para realizar essas 
duras de nmap, certifique-se de aumenta-lo novamente! 


\bce ainda precisa implementar os controles para os servięos que seu servidor Linux deve oferecer. Uma 
maneira de conseguir isso e por meio de um wrapper (“empacotador”). 

Controlando o acesso aos servięos de rede 

Sem problemas desativar completamente um servięo nao utilizado, mas, para os servięos de rede 
necessarios, voce deve configurar o controle de acesso. Esse controle de acesso necessario e alcanęado 
por meio dos arquivos /etc/hosts . allow e /etc/hosts . deny, para sistemas Linux que 
incorporam suporte TCP Wrapper. 

Se ele tiver suporte TCP Wrapper, umservięo de rede utilizara libwrap. Para verificar libwrap, 
voce pode executar o comando ldd no daemon do servięo de rede. O exemplo a seguir mostra que o 
daemon ssh utiliza TCP Wrappers. Se seu sistema Linux sshd nao usa TCP Wrappers, entao nenhuma 
saida sera mostrada. 

$ ldd /usr/sbin/sshd | grep libwrap 

libwrap.so.O => /lib/libwrap.so.0 (0x0012f000) 

Quando um servięo de rede que incorpora o suporte a TCP Wrapper e solicitado, os arquivos 
hosts . allow e hosts . deny sao varridos e verificados quanto a uma entrada que corresponde ao 
endereęo do sistema remoto que faz a solicitaęao. As etapas a seguir ocorrem quando um sistema remoto 
solicita acesso a um servięo TCP Wrapper suportado: 

L O arquivo hosts.allowe verificado. 

■ Se o endereęo do sistema remoto estiver listado: 

■ O acesso e permitido. 

■ Nenhuma verificaęao TCP Wrapper adicional e feita. 

■ Se o endereęo do sistema remoto nao estiver listado, o processo de verificaęao TCP 

Wrapper continua no arquivo hosts . deny. 

2 - O arquivo hosts . deny e verificado. 

■ Se o endereęo do sistema remoto estiver na lista, o acesso e negado. 

■ Se o endereęo do sistema remoto nao estiver na lista, o acesso e permitido. 

Aordememque os arquivos hosts sao avaliados e importante. Por exemplo, voce nao pode negar 






acesso a umhost no arquivo hosts . deny que ja recebeu acesso no arquivo hosts . allow. 


Nao e necessario listar cada endereęo unico que poderia tentar se conectar ao seu computador. Os 
arquivos hosts . allow e hosts . deny permitem especificar sub-redes inteiras e grupos de 
endereęos. \foce pode ate usar a palavra-chave ALL para especificar todos os possiveis endereęos IP. 
Alem disso, voce pode restringir entradas especificas nesses arquivos para que elas só se apliquem aos 
servięos de rede. Considere o seguinte exemplo de umpar tipico de arquivos hosts.allowe 
hosts . deny. 

# cat /etc/hosts.allow 

# hosts.allow This file describes the nanes of the hosts that 
are 

# allowed to use the local INET services, as decided 

# by the '/usr/sbin/tcpd' server. 

# 

sshd: 199.170.177. 
vsftpd: ALL 
# 

# cat /etc/hosts.deny 

# hosts.deny This file describes names of the hosts which are 

# *not* allowed to use the local INET services, as 

# decided by the '/usr/sbin/tcpd' server. 

# 

ALL: ALL 

Nos arquivos hosts, as linhas que comeęamcomum caractere # sao comentarios e sao ignoradas. 
Outras linhas consistem em urna lista separada por yirgulas dos nomes dos servięos seguida por um 
caractere de dois pontos (:) e, entao, urna lista separada por virgulas dos endereęos dos clientes a 
verificar. Nesse contexto, um cliente e qualquer computador que tenta acessar um servięo de rede em seu 
sistema. 

O exemplo anterior e de urna configuraęao bastante restritiva. A linha: 
sshd: 199.170.177. 

no arquivo hosts . allow, permite conex5es aos servięos sshd a partir de certos sistemas remotos. A 
linha: 

vsftpd: ALL 

permite que todos os sistemas remotos se conectemao servięo FTP, vsftpd. Mas se o sistema remoto 
nao estiver solicitando urna conexao com sshd ou vsf tpd, o acesso a ele sera negado pela linha no 
arquivo hosts . deny: 

ALL: ALL 

A entrada client pode ser um endereęo IP numerico (como 199.170.177.25) ou um hostname (como 
j ukebox . linuxtoys . net). Muitas vezes, usa-se umcuringa que especifica todo umintervalo de 
endereęos. Observe no arquivo host. allow de exemplo que o endereęo IP permitido da entrada do 
sshde 199.170.177. Isso correspondera a qualquer endereęo IP que inicia com essa string, como 
199.170.177.25.0 curinga ALL usado no arquivo hosts . deny especifica que todos os sistemas 



remotos entrando em contato com esse arquivo, solicitando ąuaisąuer servięos de rede TCP Wrapper 
suportados, serao negados. 


ta 

ringa ALL tambem foi usado no arquivo hosts.allow de exemplo para o servięo vsftpd, instruindo o TCP Wrapper 
rmitirabsolutamente qualquer hosta se conectarao servięo FTP no sistema Linux. Isso e apropriado para executar 
;ervidor de FTP anónimo que qualquer pessoa na internet pode acessar. Se nao estiver executando um site FTP 
limo, talvez voce nao queira usaroflag ALL aqui. 


Uma boa regra geral e tornar seu arquivo hosts . deny o mais restritivo possivel e entao permitir 
explicitamente somente os servięos de que voce realmente precisa. Conceda acesso apenas aos sistemas 
que realmente precisam de acesso de acordo com a matriz de controle de acesso da sua organizaęao (ver 
Capitulo 22). 

Junto com os TCP Wrappers, os firewalls tambem controlam o acesso as portas do seu sistema Linux. Na 
yerdade, os firewalls fazemmuito mais do que apenas proteger os seryięos de rede. 


Trabalhando com firewalls 


Um firewall em um ediflcio e uma parede a prova de fogo que impede a propagaęao do fogo pelo 
ediflcio. Um firewall de umcomputador nao impede a propagaęao do fogo, mas emvez disso bloqueia a 
transmissao de dados maliciosos ou indesejados dentro e fora de um sistema de computador ou rede. Por 
exemplo, um firewall pode bloquear yarreduras maliciosas nas portas do seryidor Linux. Um firewall 
tambem pode permitir que atualizaęóes desejadas de software sejamfeitas no mesmo seryidor. 

Entendendo firewalls 

Embora voce possa tender a pensar em um firewall como uma barreira completa, um firewall na yerdade 
e apenas um filtro que yerifica cada solicitaęao de pacote de rede ou aplicativo que chega ou sai de um 
sistema de computador ou rede. 


ta 

le e um pacote de rede? Um pacote de rede sao dados que foram divididos em blocos transmissiveis. Os 
ds ou pacotes contem dados adicionais enquanto eles passam pelo modelo OSI. Um dos propósitos desses 
)s adicionais e assegurar que um pacote chegue seguro e intacto ao seu destino. Os dados adicionais sao 
)vidos do pacote ao passar pelo modelo OSI no seu destino. 


Firewalls podem ser divididos em diferentes categorias, dependendo da sua funęao. Cada categoria tern 
umlugar importante na proteęao do seryidor e da rede. 

■ Um firewall e baseado em rede ou baseado em host. Um firewall baseado em rede e um que 










protege toda a rede ou sub-rede. Um exemplo de um firewall de rede esta no seu local de 
trabalho, onde a rede deve ser protegida pelo firewall do roteador de filtragem. 

Um firewall baseado em host e aquele que esta em execuęao e protegendo um host ou servidor 
individual. E mais provavel que voce tenha um firewall no PC emcasa. Isso e um firewall 
baseado emhost. Outro exemplo de um firewall baseado emhost e o aplicativo firestarter. 
\bce pode aprender mais sobre o firestarter em http : / / www. f s-security. com. 

■ Um firewall e um firewall de hardware ou software. Firewalls podemestar localizados em 

dispositivos de rede, como roteadores. Seus filtros sao configurados no firmware do roteador. Na 
sua casa, o provedor de servięos de internet (ISP) pode fornecer um servięo DSL ou modem a 
cabo para ter acesso a internet. O modem contem o firmware do firewall e e considerado um 
firewall de hardware. 

Firewalls podem estar localizados em um sistema de computador como um aplicativo. O 
aplicativo permite definir que regras de filtragem sejam ajustadas, as quais filtramo trafego de 
entrada. Isso e umexemplo de um firewall de software. Um firewall de software tambeme 
chamado firewall baseado em regras. 

■ Um firewall e umfiltro de camada de rede ou de aplicativo. Um firewall que examina pacotes 

individuais de rede tambeme chamado filtro de pacote. Um firewall de camada de rede só 
permite que alguns pacotes entrem e saiam do sistema. Ele opera nas camadas inferiores do 
modelo de referenda OSI. 

Um firewall de camada de aplicativo filtra nas camadas superiores do modelo OSI. Esse firewall 
só permitira a certos aplicativos o acesso ao/a partir do sistema. 

\bce pode ver como essas categorias de firewall se sobrepóem A melhor configuraęao de firewall e urna 
combinaęao de todas as categorias. Como acontece commuitas praticas de seguranęa, quanto mais 
camadas houver, mais dificil e para atividades maliciosas penetrar. 

Implementando firewalls 

Em um sistema Linux, o firewall e baseado em host, que esta na camada de rede e se baseia em software 
gerenciado pelo utilitario iptables. Com iptables, voce pode criar urna serie de regras para cada 
pacote de rede que passa pelo servidor Linux. \bce pode ajustar as regras para permitir o trafego de rede 
a partir de um local, mas nao a partir de outro. Essas regras essencialmente compóem urna lista de 
controle de acesso de rede para o seryidor Linux. 


la 

litario iptables gerencia o firewall do Linux, chamado netf ilter. Assim, voce frequentemente vera o 
all do Linuxsendo chamado de netf ilter/iptables. 


Entendendo o utilitario iptables 

Antes de comeęar a mudar as regras do firewall por meio do utilitario iptables, voce precisa 






entender os principios basicos do netfilter/iptables, que incluemo seguinte: 

■ Tabelas 

■ Cadeias 

■ Politicas 

■ Regras 

Cada um desses principios e fundamental para configurar e gerenciar o firewall do servidor Linux 
corretamente. 

As tabelas netfilter/iptables 

O firewall iptables tema capacidade de fazer mais do que apenas filtragemde baixo nivel de 
pacotes. Ele define o tipo de funcionalidade do firewall que ocorre. Ha quatro tabelas no utilitario 
iptables, com urna tabela adicional acrescentada pelo SELinux. As tabelas oferecemas seguintes 
funcionalidades: 

■ f ilter — Atabela f ilter e o recurso de filtragemde pacotes do firewall. Nessa tabela, as 

decisoes do controle de acesso sao tomadas para pacotes entrando, saindo e passando pelo 
si stema Linux. 

■ nat — A tabela nat e usada para o NetWork Address Translation (NAT). Firewalls podem ser 

configurados para NAT, que e um recurso de seguranęa diferente da filtragemde pacotes. 

■ mangle — Como voce poderia suspeitar, os pacotes sao modificados de acordo com as regras da 

tabela mangle. Amodificaęao de pacotes e usada no NetWork Address Translation. 

■ raw — Atabela raw e usada para excluir determinados pacotes de rede de algo chamado 

“rastreamento de conexao”. Esse recurso e importante ao usar o NetWork Address Translation e 
Yirtualization no servidor Linux. 

■ security — Essa tabela só esta disponivel nas distribuięóes do Linux com o SELinux (ver 

Capitulo 24, “Aprimorando a seguranęa do Linuxcomo SELinux”). Atabela security e 
utilizada para filtrar pacotes de rede usando regras MAC (ver Capitulo 22). Essa tabela e 
utilizada com a tabela f ilter. As regras da tabela security só sao aplicadas depois que as 
regras na tabela f ilter sao aplicadas. Dessa forma, as regras MAC só sao aplicadas depois 
que as regras DAC (ver Capitulo 22) sao aplicadas, o que e consistente com a implementaęao do 
SELinux. 

Entre todas as tabelas listadas, tres focalizam o NetWork Address Translation. Portanto, a tabela 
f ilter e a tabela principal para focalizar a filtragembasica de pacotes do firewall. 

Cadeias Netfilter/iptables 

O firewall netfilter/iptables categoriza os pacotes de rede emcategorias, chamadas cadeias. 



Ha cinco cadeias (categorias) para designar umpacote de rede: 

■ INPUT — Pacotes de rede chegando ao servidor Linux. 

■ FORWARD — Pacotes de rede chegando ao servidor Linux que devem ser roteadospara outro 

lugar. 

■ OUTPUT — Pacotes de rede saindo do servidor Linux. 

■ PREROUTING — Usado pelo NAT, para modificar os pacotes de rede quando eles chegamno 

servidor Linux. 

■ POSTROUTING — Usado pelo NAT, para modificar os pacotes de rede antes de sair do servidor 

Linux. 

A tabela netfilter/iptables comque voce opta por trabalhar determinara as cadeias que estao 
disponiveis para categorizar os pacotes de rede. A Tabela 25.1 mostra quais cadeias estao disponiveis 
para cada tabela. 


TABELA 25.1 

Cadeias Disponiveis para cada Tabela netfilter/iptables 

ela 

Cadeias disponweis 


INPUT, FORWARD, OUTPUT 

PREROUTING, OUTPUT, POSTROUTING 

ngle 

INPUT, FORWARD, PREROUTING, OUTPUT, 
POSTROUTING 

T 

PREROUTING, OUTPUT 

urity 

INPUT, FORWARD, OUTPUT 


Depois que umpacote de rede e categorizado emuma cadeia espedfica, iptables pode determinar 
quais pobticas ou regras se aplicam a esse pacote particular. 

Regras, politicas e alvos netfilter/iptables, 

Para cada pacote de rede, urna regra pode ser configurada definindo o que fazer com esse pacote 
individual. Pacotes de rede podem ser identificados de muitas maneiras pelo firewall 
netfilter/iptables. Alguns dessas maneiras incluem: 

■ Endereęo IP da origem 

■ Endereęo IP do destino 

■ Protocolo de rede 

■ Porta de entrada 


Porta de salda 



■ Estado da rede 


Se nao existir nenhuma regra para um determinado pacote, entao a politica global e usada. Cada categoria 
ou cadeia de pacote tem urna politica padrao. 

Quando um pacote de rede corresponde a urna regra particular ou entra na politica padrao, entao a aęao 
no pacote pode ocorrer. A aęao tornada depende do alvo iptable que esta configurado. Algumas das 
aęóes (alvos) que podem ser tomadas sao: 

■ ACCEPT — Pacotes de rede sao aceitos no servidor. 

■ RE JECT — Pacotes de rede sao descartados e nao sao permitidos no servidor. Urna mensagemde 

rejeięao e enviada. 

■ DROP — Pacotes de rede sao descartados e nao sao permitidos no servidor. Nenhuma mensagem 

de rejeięao e enviada. 

Embora RE JECT de urna mensagemde rejeięao, DROP e mudo. \bce poderia considerar o uso de 
RE JECT para funcionarios internos, que devem ser informados que voce esta rejeitando o trafego de 
rede de saida deles e por que. Considere o uso de DROP para o trafego de entrada de modo que qualquer 
funcionario mal-intencionado nao saiba que o trafego esta sendo bloqueado. 


:a 

Iguns novos alvos adicionais mais sofisticados para iptables, como QUEUE. Voce pode descobrir mais 
3essesalvos pormeiodocomandoman iptables. 


Na Figura 25.2, um pacote de rede de entrada e seguido pela tabela f ilter do firewall 
netfilter/iptables. Nesse exemplo, nenhuma regra especifica foi definida para esse pacote de 
entrada, entao o alvo da politica, ACCEPT, e usado. 






a 25.2 


templo de tabela de filtragem iptables 


O utilitario iptables implementa umfirewall de software utilizando a tabela f ilter por meio de 
pollticas e regras. Agora que voce temuma compreensao geral da implementaęao do firewall de 
software, voce pode comeęar a se aprofundar nos comandos espedficos para implementar o firewall por 
meio do utilitario iptables . 

Usando o utilitario iptables 

Seu servidor Linux deve vir com o firewall instalado e funcionando. Mas urna boa ideia e verificar se ele 
esta realmente ativado. Antes de verificar, primeiro voce tem de entender que os servięos do firewall 
netfilter/iptables sao ligeiramente diferentes, dependendo da distribuięao do Linux: 

■ Firewall netfilter/iptables do RHEL — O servięo de interface de firewall em execuęao nessa 

distribuięao e iptables. Para ver se esse servięo de firewall esta emexecuęao, digite service 
iptables status na linha de comando. 

■ Para ativar o firewall, digite service iptables start na linha de comando. 

■ Para desativar o firewall, digite service iptables stop na linha de comando. 

■ Firewall netfilter/iptables do Fedora — O servięo de interface de firewall em execuęao nessa 

distribuięao e iptables. Para ver se esse servięo de firewall esta emexecuęao, digite 
systemctl status iptables.se rvice na linha de comando. 

■ Para ativar o firewall, digite systemctl start iptables.se rvice na linha de comando. 

■ Para desativar o firewall, digite systemctl stop iptables.se rvice na linha de comando. 

■ Firewall netfilter/iptables do Ubuntu— O servięo de interface de firewall emexecuęao nessa 

distribuięao e uf w. Para ver se o servięo de firewall esta emexecuęao, digite sudo ufw status na 
linha de comando. O servięo ufw e urna interface para o utilitario iptables que nao e 
executado como um servięo no Ubuntu. \hce pode usar os comandos ufw para manipular as 
regras de firewall. Mas todos os comandos do utilitario iptables ainda sao validos para o 
Ubuntu: 

■ Para ativar o firewall, digite sudo ufw enable na linha de comando. 

■ Para desativar o firewall, digite sudo ufw disable na linha de comando. 

Felizmente, depois de verificar o status e ativar oudesativar o firewall netfilter/iptables, 
terminamas diferenęas entre as distribuięóes. 

Para ver quais pollticas e as regras estao atualmente em vigor para a tabela f ilter, digite iptables -t 




filter -L na linha de comando. No exemplo a seguir, esse comando e inserido emum sistema Linux Mint. 
Observe que o comando sudoe necessario porque o utilitario iptables requer privilegios de root. 

$ s\ido iptables -t filter -L 

[sudo] password for johndoe: *************** 

Chain INPOT (policy ACCEPT) 

target prot opt source destination 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPOT (policy ACCEPT) 

target prot opt source destination 

Ha varias coisas a observar no exemplo anterior. Todas as cadeias disponiyeis para a tabela filter 

estao listadas: INPUT, FORWARD e OUTPUT . Para cada cadeia, nenhuma regra e definida. Portanto, as 
politicas padrao da cadeia serao aplicadas a todos os pacotes de rede. Atualmente, todas as politicas 
padrao sao configuradas como ACCEPT. Todos os pacotes de rede tempermissao para entrar, passar e 
sair. Umfirewall nesse estado esta essencialmente desativado. 




servidor Linux lidar com pacotes de rede IP v6, voce podera usar o utilitario ip6tables para gerenciar o 
all para endereęos IPv6. 0 utilitario ip6tables e quase identico ao utilitario iptables. Para mais 
maęóes, digite man ip6tables na linha de comando. 


Modificando politicas e regras iptables 

Antes de comeęar a modificar o firewall netfilter/iptables, e util entender algumas opęóes de 
comando. Abaixo estao algumas opędes para modificar o firewall: 

■ -t tabela 

O comando iptables listado juntamente comessa chave e aplicado a tabela. Por padrao, a 
tabela fil ter e usada. Exemplo: 

iptables -t filter -P OUTPUT DROP 

■ -P cadeia alvo 

Define a polltica geral de urna cadeia particular. Sao yerificadas correspondencias nas regras na 
cadeia. Se nao houver nenhuma correspondencia, o target listado da cadeia e usado. Exemplo: 

iptables -P INPUT ACCEPT 

■ -A cadeia 

Define urna regra, chamada “regra anexada”, que sera urna exceęao a polltica geral para a cadeia 
designada. Exemplo: 

iptables -A OUTPUT -d 10.140.67.25 -j REJECT 

■ -I n°_da_regra cadeia 

Insere urna regra anexada em um local especifico, designado pelo n°_da_regra, na lista de regras 






anexadas para a cadeia designada. Exemplo: 

iptables -I 5 INPUT -s 10.140.67.23 -j DROP 

■ -D cadeia n°_da_regra 

Exclui urna regra especifica, designada pela n°_da_regra, da cadeia designada. Exemplo: 

iptables -D INPUT 5 

■ -j alvo 

Se os criterios na regra forem atendidos, o firewall deve saltar para esse alvo designado para 
processamento. Exemplo: 

iptables -A INPUT -s 10.140.67.25 -j DROP 

■ -d endereęo_IP 

Atribui a regra listada para aplicar ao endereęo_IP de destino designado. Exemplo: 

iptables -A OUTPUT -d 10.140.67.25 -j REJECT 

■ -s endereęo_IP 

Atribui a regra listada para aplicar ao endereęo_IP de origem designado. Exemplo: 

iptables -A INPUT -s 10.140.67.24 -j ACCEPT 

■ -p protocolo 

Atribui a regra listada para aplicar ao protocolo designado. Exemplo: 

iptables -A INPUT -p icmp -j DROP 

■ --dport n°_da_porta 

Atribui a regra listada para aplicar a certos pacotes de protocolo que entram no n°_da_porta 
designado. Exemplo: 

iptables -A INPUT -p tcp --dport 22 -j DROP 

■ --sport n°_da_porta 

Atribui a regra listada para aplicar a certos pacotes de protocolo saindo do n°_da_porta 
designada. Exemplo: 

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 

■ -m State --State estado_da_rede 

Atribui a regra listada para aplicar ao(s) estado(s)_da_rede designado(s). Exemplo: 

iptables -A INPUT -m State --State RELATED,ESTABLISH -j ACCEPT 

Para ver como as opęóes iptables funcionam, considere o seguinte exemplo. \bce ternumservidor 
Linux (Host-A) no endereęo IP 10.140.67.23. Ha dois outros servidores Linuxna sua rede. Umdeles e 
Host-B no endereęo IP 10.140.67.22 e o outro e o Host-C no endereęo IP 10.140.67.25. Seu objetivo e 

■ Permitir ao Host-C acesso total ao Host-A 

■ Bloąuear conex5es de login remoto usando ssh do Host-B para o Host-A 



Definindo urna politica de Drop. O código a seguir mostra o estado atual do firewall do Host-A. O 
firewall esta completamente aberto, semrestrięóes implementadas. Nenhuma regra esta definida e todas 
as politicas estao configuradas como ACCEPT. 

# iptables -L 


Chain iNPUT (policy ACCEPT) 

target prot opt source destination 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OOTPUT (policy ACCEPT) 

target prot opt 3ource destination 

Primeiro, o que aconteceria se a politica de INPUT fosse alterada de ACCEPT para DROP Isso 
alcanęaria o objetivo? De urna olhada no que acontece quando tentamos isso. Lembre-se de que se 
nenhuma regra estiver listada para umpacote de entrada, entao a policy de chain sera seguida. Essa 
mudanęa e feita para o firewall do Host-A no exemplo a seguir. 

# iptables -P INPUT DROP 

# 

# iptables -L 

Chain INPUT (policy DROP) 

target prot opt source destination 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 


;a 

politicas, voce nao pode definiro alvo como RE JECT. Isso falhara e voce recebera a mensagem, “iptables: Bad 
:y name.” Use DROP como sua politica em vez disso. 


O Host-B tentara fazer um ping no Host-A e entao tentara urna conexao s sh como mostrado no exemplo 
seguir. Como voce pode ver, ambas as tentativas falham Como os comandos ping estao bloqueados, 
isso nao alcanęa o objetivo de bloquear apenas conex5es de login remoto usando ssh a partir do Host- 
B. 


$ ping -c 2 10.140.67.23 

PING 10.140.67.23 (10.140.67.23) 56(84) bytes of data. 

- 10.140.67.23 ping statistics - 

2 packets transmitted, 0 received, 100% packet loss, time 1007ms 
$ 

$ ssh root@10.140.67.23 


ssh: connect to host 10.140.67.23 port 22: Connectiontimedout 






Quando o Host C tenta fazer um ping no Host-Ae criar urna conexao ssh, ambas as tentativas falham. 
Assim, confirma-se que a configuraęao de firewall, politica INPUT e igual a DROP, nao e aquilo que e 
necessario para alcanęar o objetivo. 

$ ping -c 2 10.140.67.23 

PING 10.140.67.23 (10.140.67.23) 56(84) bytes of data. 

- 10.140.67.23 ping statistics - 

2 packets transmitted, 0 received, 100% packet loss, time 1008ms 
$ 

$ ssh root@10.140.67.23 

ssh: connect to host 10.140.67.23 port 22 : Connection timed out 

Bloąueando umendereęo IP de origem. E se, emvez disso, apenas o endereęo IP do Host-B fosse 
bloqueado? Isso permitiria que o Host-C entrasse em contato com o Host-A. Essa configuraęao 
alcanęaria o objetivo desejado? 

No exemplo a seguir, primeiro a politica DROP deve ser alterada para ALLOW no iptables do Host- 
A. Depois disso, urna regra especifica deve ser anexada para bloquear somente pacotes de rede 
provenientes do endereęo IP do Host-B, 10.140.67.22. 

# iptables -P INPUT ACCEPT 

# 

# iptables -A INPUT -s 10.140.67.22 -j DROP 

# 

# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

DROP all — 10.140.67.22 anywhere 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

O Host-C agora pode comsucesso fazer ping e ssh no Host-A, satisfazendo umdos objetivos 
estabelecidos. 

$ ping -c 2 10.140.67.23 

PING 10.140.67.23 (10.140.67.23) 56(84) bytes of data. 

64 bytes from 10.140.67.23: icmp_req=l ttl=64 time=11.7 ms 
64 bytes from 10.140.67.23: icmp_req=2 ttl=64 time=0.000 ms 

- 10.140.67.23 ping statistics - 

2 packets transmitted, 2 received, 0% packet loss, time 1008ms 
rtt min/avg/max/mdev = 0.000/5.824/11.648/5.824 ms 

$ ssh root@10.140.67.23 
root@10.140.67.23's password: 

Mas o Host-B nao pode fazer ping nem ssh no Host-A. Assim, a regra anexada nao e exatamente o que 



e necessario para alcanęar todo o objetivo. 

$ ping -c 2 10.140.67.23 

PING 10.140.67.23 (10.140.67.23) 56(84) bytes of data. 

- 10.140.67.23 ping statistics - 

2 packets transmitted, 0 received, 100% packet loss, time 1007ms 

$ ssh root@10.140.67.23 

ssh: connect to host 10.140.67.23 port 22: Connection timed out 

Bloqueando umprotocolo e urna porta. E se, emvez de bloąuear totalmente o endereęo IP do Host-B, 
apenas as conex5es para a porta ssh (porta 22) do endereęo IP do Host-B fossembloąueadas? Isso 
alcanęaria o objetivo de permitir ao Host C acesso to tal ao Host-A, e só bloąuear conex5es ssh do 
Host-B? 

No exemplo a seguir, as regras iptables para o Host-A sao modificadas para tentar bloąuear o 
endereęo IP do Host-B na porta 22. Observe que a opęao --dport deve acompanhar umdeterminado 
protocolo, por -p tcp. Antes de a nova regra ser adicionada, a regra do exemplo anterior deve ser 
excluida coma opęao -D. Caso contrario, a regra do exemplo anterior seria usada pelo firewall 
nettilter/iptables para os pacotes de 10.140.67.22 (Host-B). 

# iptables -D INPUT 1 

# 

# iptables -A INPUT -s 10.140.67.22 -p tcp --dport 22 -j DROP 

# 

# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

DROP tcp — 10.140.67.22 anywhere tcp dpt:ssh 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

Primeiro, a nova regra iptables e testada a partir do Host-C para garantir que tanto as tentativas de 
ping como as conex5es ssh permaneęaminalteradas. Funciona. 

$ ping -c 2 10.140.67.23 

PING 10.140.67.23 (10.140.67.23) 56(84) bytes of data. 

64 bytes from 10.140.67.23: icmp_req=l ttl=64 time=1.04 ms 
64 bytes from 10.140.67.23: icmp_req=2 ttl=64 time=0.740 ms 
- 10.140.67.23 ping statistics - 

2 packets transmitted, 2 received, 0% packet loss, time lOOOms 
rtt min/avg/max/mdev = 0.740/0.892/1.045/0.155 ms 

$ ssh root@10.140.67.23 
root@10.140.67.23's password: 



Em seguida, a nova regra iptables e testada a partir do Host-B para garantir que ping fund ona e as 
conex5es ssh sao bloąueadas. Tambemfunciona! 


$ ping -c 2 10.140.67.23 

PING 10.140.67.23 (10.140.67.23) 56(84) bytes of data. 

64 bytes from 10.140.67.23: icmp_req=l ttl=64 time=1.10 ms 
64 bytes from 10.140.67.23: icmp_req=2 ttl=64 time=0.781 ms 

- 10.140.67.23 ping statistics - 

2 packets transmitted, 2 received, 0% packet loss, time lOOlms 
rtt min/avg/max/mdev = 0.781/0.942/1.104/0.164 ms 

$ ssh root@10.140.67.23 

ssh: connect to host 10.140.67.23 port 22 : Connection timed out 

Mais urna vez, a matriz de controle de acesso da sua organizaęao (ver Capitulo 22) vai ajuda-lo a criar as 
regras necessarias para o firewall netfilter/iptables no seu servidor Linux. E cada modificaęao 
deve ser testada em um ambiente yirtual ou de teste antes de implementa-la no firewall dos sistemas de 
produęao Linux. 

Salvando uma configuraęao iptables 

Depois de concluir o trabalho duro de criar as politicas e regras de configuraęao de firewall do seu 
seryidor Linux, e recomendayel salva-las. Todas as modificaęóes devem ser salvas no arquivo de 
configuraęao do iptables, /etc/sysconfig/iptables, porque esse e o arquivo usado na 
inicializaęao do sistema para carregar o firewall. 

No exemplo a seguir, as modificaęóes feitas anteriormente ainda estao no firewall. Antes de elas serem 
salvas no arquivo de configuraęao, uma cópia de backup do arquivo original e criada. Isso sempre e uma 
boa ideia. As modificaęóes sao, entao, salvas como comando iptables-save. Obserye que a saida e 
direcionada para o arquivo /etc/sysconfig/iptables usando umsimbolo de redirecionamento, 

> (yer a ultima linha do código no exemplo). 

# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

DROP rep -- 10.140.67.22 anywhere tep dptrssh 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

# cp /etc/sysconfig/iptai>les/etc/sysconfig/iptables.bek 

# 

# iptables-save > /etc/sysconfig/iptables 

# 

\bce tambempode remover todas as modificaęóes no firewall netfilter/iptables atual usando a 
opęao de limpeza, iptables -F. Depois de concluir isso, todas as regras (mas nao as politicas) sao 



removidas, como mostrado no código a seguir. Isso e util para testar pollticas e regras individuais. 

# iptables -F 

# 

# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

Chain FORHARO (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt 30urce destination 

Uma limpeza das regras nao afeta o arquivo de configuraęao iptables. Para restaurar o firewall a sua 
condięao original, use o comando iptables-restore. No exemplo a seguir, o arquivo de 
configuraęao iptables e redirecionado para o comando restore e a regra DROP original para 
10.140.67.22e restaurada. 

# iptables-restore < /etc/sysconfig/iptables 

# 

# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

DROP tcp — 10.140.67.22 anywhere tcp dpt:ssh 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt 30urce destination 


ta 

um sistema Ubuntu, salvar e restaurar as modificaęóes netfilter/iptables sao muito semelhantes. 
ainda pode usar o comando iptablessave para criarum arquivo de configuraęao iptables a partirda 
guraęao iptables atual e usar iptables-restore para restaura-lo. Mas fazer uma configuraęao 
ables salva ser carregada na inicializaęao e um pouco mais complicado. Nao ha um arquivo 
c/sysconf ig/iptables. Ha varias opęóes para carregar um arquivo de configuraęao na inicializaęao do 
ma. Consulte no site da comunidade do Ubuntu em 
ps : / /help . ubuntu . com/community/ IptablesHowTo as varias opęóes. 


\bce tambempode salvar suas regras de firewall netfilter/iptables para criar umrelatório de 
auditoria. Revisar essas regras periodicamente deve ser parte da fasę de Auditoria/Revisao do Ciclo de 
Yida do Sistema da sua organizaęao. 


Resumo 


Proteger seu servidor Linux e fundamental emuma rede. Inerentemente, a maioria dos ataques maliciosos 
ira se originar de uma rede, especialmente da internet. Este capltulo cobriu alguns dos prindpios basicos, 
como o modelo OSI, que voce precisa a firn de comeęar esse processo. 







Proteger seus servięos de rede pode ser simplificado depois que voce determina e remove quaisquer 
servięos de rede desnecessarios. O utilitario nmap ira ajuda-lo aqui. Alemdisso, voce pode usar nmap 
para audi tar os anuncios dos servięos de rede do servidor Linux. Essas auditorias ajudarao a determinar 
quais modificaęóes no firewall sao necessarias. 

Para os servięos de rede necessarios, um controle de acesso deve ser implementado. TCP Wrappers 
podem auxiliar nessa atividade. Configurando as permissóes individualmente por servięo, o acesso pode 
ser permitido ou negado, fazendo o ajuste fino do acesso para cada servięo de rede. 

Alem disso, o firewall em um servidor Linux fornece controle de acesso. O firewall 
netf ilter/iptables e um firewall de software baseado emhost que pertence a camada de rede. 
Ele e gerenciado pelos utilitarios iptables e ip6tables. Comesses utilitarios, urna serie de 
politicas e regras pode ser criada para cada pacote de rede que chega ao servidor Linux. Essas politicas 
e regras essencialmente compóem urna lista de controle de acesso para a rede de servidores Linux. 

Obrigado por escolher a Biblia do Linux para aprender mais sobre o sistema operacional Linux. Mas nao 
parę aqui. Continue a aprender sobre o Linux e considere tambem retribuir. Ha varias comunidades 
online dedicadas a software Linux livre e de código-fonte aberto, nas quais voce pode compartilhar seu 
conhecimento recem-descoberto e permanecer em contato com os avanęos no Linux. Aproveite o resto da 
sua jornada, e bem-vindo ao Linux! 


Bcercicios 


Consulte o materiał neste capitulo para completar as tarefas a seguir. Se voce empacar, soluęóes para as 
tarefas sao mostrados no Apendice B (embora no Linux costume haver varias maneiras de fazer urna 
tarefa). Tente resolver cada um dos exercicios antes de consultar as respostas. Essas tarefas sup5emque 
voce esta executando um Fedora ou um Red Hat Enterprise Linux (embora algumas tarefas tambem 
funcionem em outros sistemas Linux). 

1 - Instale o utilitario NetWork Mapper no seu sistema Linux local. 

2 - Execute urna varredura TCP Connect no seu endereęo de loopback local. Que portas tern um 
servięo em execuęao nelas? 

3 - Execute urna varredura UDP Connect no seu sistema Linux a partir de um sistema remoto. 

4 - Verifique se o daemon ssh no seu sistema Linux utiliza o suporte TCP Wrapper. 

5 - Usando os arquivos TCP Wrapper, permita acesso as ferramentas ssh no sistema Linux a partir 
de um sistema remoto designado. Negue qualquer outro acesso. 

6 - Determine as politicas e as regras atuais do firewall netfilter/iptables do seu sistema 
Linux. 

7 - Limpe as regras atuais do firewall do seu sistema Linux e entao as restaure. 

8 - Para o firewall do seu sistema Linux, defina urna politica de tabela de filtros para que a cadeia de 
entrada a rejeite. 

9 - Mude a politica da tabela de filtros do firewall do sistema Linux de volta a accept para a 




cadeia de entrada e entao adicione urna regra para descartar todos os pacotes de rede a partir do 
endereęo IP 10.140.67.23. 

Sem descartar ou restaurar as regras do firewall do sistema Linux, remova a regra que voce 
adicionou anteriormente. 



Parte VI 


Apendices 

NESTA PARTE 

Apendice A 

Midia 

Apendice B 

Respostas dos exerdcios 



Midia 


NESTEAPENDICE 

Obtendo as distribuięóes do Linux 
Criando um CD ou DVD 

A menos que voce tenha comprado um computador com Linux pre-instalado ou alguem o instalou para 
voce, e necessario encontrar uma maneira de obter urna distribuięao Linux e, entao, instala-la ou 
executa-la a partir de um Live CD em seu computador. Felizmente, as distribuięóes Linux estao 
amplamente disponiveis e vem em uma variedade de formas. 

Neste Apendice, voce aprendera a: 

■ Obter algumas diferentes distribuięóes do Linux 
■ Criar um disco de inicializaęao para instalar sua distribuięao 
■ Inicializar o Linux a partir de um pen drive USB 

Para usar este livro eficientemente, voce deve ter uma distribuięao Linux a sua frente para trabalhar. E 
importante ser capaz de experimentar o Linux a medida que voce le. Entao, experimente os exemplos e 
faęa os exercicios. 

Distribuięóes Linux estao mais comumente disponiveis nos sites das organizaęóes que as produzem As 
seęóes a seguir descrevem sites associados a distribuięóes Linux que oferecem imagens ISO que voce 
pode baixar. 


ta 

ISO e uma imagem de disco que esta formatada no formato de sistema de arquivos ISO 9660, um formato que e 
iimente usado com imagens de CD e DVD. Como esse e um formato bem conhecido, ele e lido por sistemas 
ows, Mac e Linux. 

imagem ISO pode ser gravada em uma midia de CD ou DVD, dependendo do tamanho da imagem, e, se estiver 
;eu sistema de arquivos, pode ser montada em um Linux no modo de loopback, o que permite verou copiarseu 
sudo. 

ido uma imagem ISO contem um Linux Live CD ou uma imagem da instalaęao, as imagens sao inicializaveis. Isso 
fica que, em vez de iniciar um sistema operacional, como o Windows ou Linux, a partir do disco rigido do 






jutador, voce pode dizer para seu computador inicializar a partir do CD ou DVD. Isso permite que voce execute 
istema operacional totalmente diferente do que esta instalado em seu disco rfgido sem alterar ou danificar os 
is no disco. 


Obtendo o Fedora 


Uma verdadeira pagina “Obtenha o Fedora” esta disponivel no site do Fedora 
(http : //fedoraproj ect. org/get-fedora). Essa pagina contemlinks para download de 
ISOs, informaędes sobre o tipo de computador que voce precisa e uma visao geral de como gravar uma 
i ma gem ISO. 


ta 

)mendo baixar o Fedora Desktop Live CD para trabalhar junto com este livro, porque a maior parte do livro vai 
tlhar com essa distribuięao. Voce pode executa-lo como urn Live CD sem arriscar afetar o disco rfgido de seu 
putadorate voce se sentir confortavel o suficiente para instala-lo permanentemente. 


Para testar os exemplos neste livro, usei o Fedora 16, Live CD desktop de 32 bits (GNOMĘ). Se voce 
tiver uma maąuina de 64 bits, a ISO de 64 bits seria melhor ainda. Vers5es mais recentes do Fedora que 
vem com um desktop GNOMĘ devem funcionar igualmente bem Eis um link para a ISO exata utilizada: 

http://download.fedora.devel.redhat.com/pub/fedora/linux/releases/16/I 
16-i68 6-Live-Desktop.iso 

\bce pode baixar as ISOs de que precisa a partir de qualquer computador que tenha um gravador de 
CD/DVD. Veja as descriędes das ferramentas de gravaęao de CD/DVD disponiveis para Windows, Mac 
OS X e Linux mais adiante, neste apendice. 

A Figura A.l mostra um exemplo da pagina Get Fedora. 
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imagens ISO do Fedora a partir da pagina Obtenha o Fedora. 


O download padrao e urna imagem CD ISO de um Live CD Fedora Desktop (GNOMĘ) para PC 32 bits. 
\foce sera capaz de inicializar urna imagem em seu computador e, se assim quiser, pode instalar 
permanentemente no disco rigido de seu computador. Para baixar essa imagem, faęa o seguinte: 

Selecione o botao Download Now. Umpop-up deve aparecer, perguntando o que voce 
quer fazer com a ISO. 

2 - Selecione fazer download da ISO. Dependendo de suas configuraęóes, voce sera 
perguntado se quer fazer download ou o arquivo simplesmente vai comeęar a ser 
baixado para urna pasta padrao. 

3 - Se voce for perguntado sobre onde colocar a ISO, selecione urna pasta que tenha 
espaęo suficiente para conte-la. Lembre-se de onde essa pasta esta porque voce vai 
precisar localizar a ISO quando for gravar o CD mais tarde. 

Se precisar de mais informaęóes sobre o que fazer com a imagem baixada, ha links para ajuda-lo na 
pagina do Fedora que aparece. Na epoca emque escreviamos este texto, havia links para “O que devo 
fazer comesse arquivo ISO?”, “Preciso de ajuda para executar ou instalar o Fedora” e “Quero saber 
mais sobre o Fedora”. 

\foce temoutras opęóes para baixar ISOs do Fedora. A partir da pagina Get Fedora, selecione o link 
Morę download options. Eis algumas alternativas ao Fedora Desktop Live CD de 32 bits: 

■ Fedora 64 bits — Se voce sabe que tern um computador de 64 bits, baixe essa ISO, emvez da 

versao de 32 bits. Se voce estiver emduvida, a versao de 32 bits vai funcionar emqualquer tipo 
de computador, mas nao vai tirar o maximo proveito dos ganhos de desempenho do sistema de 64 
bits. 

■ Spins — Ha vers5es especiais do Fedora que sao referidas como spins. Exemplos de spins 

especiais do Fedora incluem aqueles que oferecem interfaces desktop diferentes daquelas que 
voce obtemcomo GNOMĘ (KDE, LXDE ou Xfce). Se voce estiver notando ummau desempenho 
do desktop GNOMĘ, o LXDE e o XFCE sao boas alternativas “leves”. 

■ Midia de instalaęao — Selecione o link Download Methods para ver alguns metodos alternativos 

de download e imagens ISO diferentes. Em particular, a partir dessa pagina estao disponiveis 
imagens de DVD ISO que permitem fazer instalaęóes do Fedora completas a partir do zero 
(semelhante a instalaęao Red Hat Enterprise Linux descrita no Capitulo 9, “Instalando o Linux”). 
Um NetWork Install CD, que e um pequeno CD que carrega o processo de instalaęao, pode ser 
usado para instalar atraves da rede ou outras midias. 

Depois de ter a imagem ISO que voce deseja, va para a descrięao mais adiante neste capitulo de como 
gravar a imagem em CD ou DYD. 




Obtendo o Red Hat Enterprise Linux 

Muitas grandes empresas, agencias governamentais e universidades utilizam o Red Hat Enterprise Linux 
para rodar seus aplicativos de missao critica. Embora a maioria dos procedimentos deste livro execute 
bem no Fedora, ha muitas referencias a como as coisas sao feitas diferentemente no Red Hat Enterprise 
Linux, porque, ąuando voce for conseguir um emprego como administrador de sistemas Linux, na maioria 
dos casos, ira trabalhar com sistemas Red Hat Enterprise Linux. 

Enąuanto o código-fonte para o Red Hat Enterprise Linux esta disponivel gratuitamente, as ISOs contendo 
os pacotes que voce instala (muitas vezes referidas como binarios) só estao disponiveis para aąueles que 
temcontas de cliente no portal da Red Hat (https : //access . redhat. com). 

Se nao tiver urna conta, voce pode inscrever-se para umteste de 30 dias. Se voce ou sua empresa tiver 
urna conta com a Red Hat, voce pode baixar as ISOs de que voce precisa. Va para o site abaixo e siga as 
instruęóes para baixar urna Red Hat Enterprise Linux Server ISO ou inscreva-se para obter urna cópia de 
avaliaęao: 

https://access.redhat.com/downloads 

A Red Hat nao oferece vers5es Live CD do Red Hat Enterprise Linux. Emvez disso, voce pode baixar 
DYDs de instalaęao que podem ser instalados como descrito no Capitulo 9 deste livro. 


ta 

lao conseguir obter um DVD de instalaęao do Red Hat Enterprise Linux, voce pode obter uma experiencia 
slhante usando o DVD de instalaęao do CentOS. 0 CentOS nao e exatamente o mesmo que o RHEL Mas se voce 
jr o DVD de instalaęao do CentOS 6.2 de um site espelho CentOS, o procedimento de instalaęao sera semelhante 
escrito para o Red Hat Enterprise Linux no Capitulo 9. 


Obtendo o Ubuntu 

Muitas pessoas iniciantes em Linux comeęam baixando e instalando o Ubuntu. O Ubuntu tern uma enorme 
base de fas e muitos colaboradores ativos. Se voce tiver problemas como Ubuntu, ha grandes fóruns 
ativos, onde muitas pessoas estao dispostas a ajuda-lo a superar os problemas. 

Se ja tiver um sistema Ubuntu instalado, voce pode acompanhar a maior parte da primeira metade deste 
livro. \foce pode obter o Ubuntu com um desktop GNOMĘ e sua interface shell padrao e semelhante ao 
bash (ou voce pode alternar para o bash no Ubuntu para acompanhar os exemplos de shell neste livro). 

A medida que o livro avanęa sobre tópicos relacionados com a administraęao do sistema, porem, os 
procedimentos podem nao corresponder exatamente a como voce faz no Ubuntu e, portanto, o Fedora e o 
Red Hat Enterprise Linux servem como melhores opęóes para aprender tópicos como administraęao do 
sistema, administraęao de servidores e seguranęa abordados emcapitulos posteriores. 

Para obter o Ubuntu, voce pode baixar um Live CD ou uma midia de instalaęao a partir da pagina 
Download Ubuntu: http: / /www. ubuntu . com/download/ubuntu/download 


A Figura A.2 mostra um exemplo da pagina de download do Ubuntu. 
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as imagens ISO do Ubuntu Live CD ou escolha um download alternatiyo. 


Como ocorre com o Fedora, a maneira mais facil de baixar o Ubuntu e selecionar o Ubuntu Live CD de 
32 bits, baixa-lo e grava-lo. Veja como fazer isso a partir da pagina Ubuntu Download: 

Cliąue no botao Start Download. Por padrao, isso baixa a mais recente imagem ISO 
do Ubuntu desktop GNOMĘ Live CD para computadores de 32 bits. 

2 - \bce sera perguntado se quer fazer o download da imagem ISO ou simplesmente o 
arquivo comeęara a ser baixado para urna pasta padrao. 

3 - Se lhe for perguntado onde colocar a ISO, selecione urna pasta que tenha espaęo 
suficiente para armazena-la. Lembre-se de onde essa pasta esta porque voce vai 
precisar localizar a ISO quando for gravar o CD mais tarde. 

Após a conclusao do download, grave a imagem ISO emumCD usando os procedimentos descritos mais 
adiante na seęao “Criando CDs e DVDs Linux”. 

Outros tipos de midia de instalaęao do Ubuntu tambem estao disponiveis. Eis alguns exemplos: 

■ Ubuntu Windows Installer — Para rodar o Ubuntu como um aplicativo dentro de um sistema 

Windows, voce pode baixar essa versao especial do Ubuntu e seguir o link para informaęóes na 
pagina sobre como instala-lo: 

http://www.ubuntu.com/download/ubuntu/windows-installer 

■ Downloads alternativos — \bce pode selecionar diferentes vers5es do Ubuntu para download na 

pagina Alternative Downloads. Ha vers5es especificas para servidores, desktops e netbooks. 
Tambem ha imagens de DVD que oferecemmais pacotes do que voce obtemcomos Live CDs. A 
pagina Alternative Downloads esta localizada em: 

http://www.ubuntu.com/download/ubuntu/alternative-download 


Criando CDs e DVDs Linux 


Depois de baixar urna imagem de CD ou DVD do Linux, voce pode usar varias ferramentas para criar 
CDs ou DVDs inicializayeis para instalar ou apenas executar o Linux “Live” a partir dessas midias. 
Antes de comeęar, voce deve ter o seguinte: 


■ Imagens ISO de DVD ou CD — Baixe as imagens ISO para seu computador que representam o 

DVD ou CD fisicos que voce acabara gravando. 

■ DVDs/CDs yirgens — \bce precisa de DVDs ou CDs yirgens para gravar as imagens. CDs 

armazenamate cerca de 700MB; DYDs armazenamate cerca de 4,7GB (camada unica). 





■ Gravador de CD — \bce precisa de urna unidade que seja capaz de gravar CDs ou DVDs, 

dependendo do que voce esta gravando. Nem todas as unidades de CD/DVD podem gravar CDs 
(especialmente as mais antigas). Assim, voce pode precisar encontrar umcomputador comuma 
unidade que temessa capacidade. 

As próximas seęóes descrevem como gravar CDs e DVDs inicializaveis a partir dos sistemas Windows, 
Mac OS X e Linux. 

Gravando CDs/DVDs no Windows 

Se tiver baixado a imagem ISO do Linux para um sistema Windows, voce pode gravar a imagem em CD 
ou DVD de maneiras diferentes, dependendo de qual versao do Windows voce esta usando. Eis alguns 
exemplos: 

■ Windows 7 — No Windows 7, a funęao de imagens ISO para gravaęao de CD ou DVD esta 

integrada ao sistema operacional. Urna vez que urna imagem ISO e baixada, basta inserir o CD 
apropriado ou DVD na unidade de seu computador (assumindo que o disco e gravavel), clicar 
com o botao direito do mouse no icone de imagem ISO a partir da pasta em que voce a baixou e 
selecionar Gravar imagem de disco. Quando a janela Gravador de imagem de disco do Windows 
aparecer, selecione Gravar para gravar a imagem 

■ Roxio Creator — Esse aplicativo Windows da Roxio contem muitos recursos para ripar e gravar 

CDs e DVDs. \bce pode ler sobre o produto aqui: 

http://www.roxio.com/enu/products/creator/ 

■ Nero CD/DVD-ROM — Nero e outro software popular de gravaęao de CD/DVD para sistemas 

Windows, \foce pode descobrir mais sobre o Nero aqui: 

http://www.nero.com 


Gravando CDs/DVDs em um sistema Mac OS X 

Assim como o Linux, o Mac OS X tern software de gravaęao de CD/DVD integrado ao sistema 
operacional. Para gravar urna imagem ISO para disco emum sistema Mac OS X, siga estes passos: 

1 - Baixe a imagem ISO que voce quer em seu sistema Mac OS X. Um icone representando a ISO 
deve aparecer em seu desktop. 

2 . Insira um CD ou DVD virgem em seu gravador de CD/DVD, conforme for apropriado para o 
tamanho da imagem 

3 - Clique com o botao direito do mouse no icone que representa a ISO Linux que voce acabou de 
baixar e selecione Burn “Linux” to Disk. Urna janela pop-up aparece, perguntando se voce tern 
certeza de que quer gravar a imagem 

4 - Preencha o nome que voce quer dar a ISO e a yelocidade de gravaęao. Entao, selecione Burn. A 
imagem comeęa a gravar em disco. 



Após a imagemter sidoqueimada, ejete o disco e voce esta pronto para iniciar o CD ou DVD em 
um computador apropriado. 

Gravando CDs/DVDs no Linux 

O Linux tem ferramentas graficas e tambem linha de comando para gravar imagens de CD e DVD em 
midia fisica. Os exemplos desta seęao mostramcomo usar o K3b a partir do desktop ou o cdrecord 
(ou o wodim) para gravar imagens ISO em CD ou DVD. 

Gravando CDsa partir de um desktop Linux 

Veja como criar CDs inicializaveis do Linux a partir de um sistema Linux em execuęao (como o Fedora) 
usando o K3b. O K3b vemcomo desktop KDE, mas tambem roda no desktop GNOMĘ. 

L Faęa o download das imagens ISO que voce quer para o disco rigido de seu computador. (A 
imagem do CD tem cerca de 700MB de tamanho. Imagens de DVD de camada unica estao abaixo 
de 4,7GB). 

2 - Abra umaplicativo de gravaęao de CD/DVD. Para esse procedimento, recomendo o K3b CD and 
DVD Kreator (http : / /www. k3b . org). No Fedora, selecione o menu Applications e escolha 
Sound & Yideo => K3b (ou digite k3b emuma janela Terminal). Ajanela K3b - CD e DVD 
Kreator aparece. 


ta 

K3b nao estiver instalado em seu sistema Linux, voce pode instala-lo na maioria das distribuięóes Linux. Para o 
)ra, instale oK3b digitando yum install k3b como usuario rootem urna janela de Terminal. 


3 - A partir da janela do K3b, selecione Tools => Burn CD ISO Image para gravar urna imagem de 
CD, ou Tools => Burn DVD ISO Image para gravar urna imagem de DVD. \bce e solicitado a 
escolher um arquivo de imagem 

4 - Procure a imagem que voce acabou de baixar ou copiar para o disco rigido e selecione-a. Depois 
de selecionar a imagem desejada, a janela Burn CD Image aparece, assim como urna soma de 
verificaęao da imagem (Muitas vezes, voce pode comparar o numero da soma de verificaęao que 
aparece com o numero em um arquivo md5 do diretório de download, onde voce obteve o Live 
CD, para ter certeza de que a imagem do CD nao foi corrompida.) A Figura A.3 mostra a janela 
Burn CD Image pronta para gravar urna imagem do Fedora. 






a A.3 


K3b para gravar seus CDs ou DVDs Linux. 


5 - Insira um CD ou DVD virgem na unidade de CD/DVD, a qual pode ser uma combinaęao de 
unidade de CD e DVD. (Se uma janela CD/DVD Creator aparecer, voce pode simplesmente 
fecha-la.) 

6 - Verifique as configuraęóes na janela Burn CD Image (muitas vezes, as padróes sao boas 
configuraęóes, mas voce pode querer diminuir a velocidade se tiver problemas de gravaęao). 
\bce tambem pode selecionar a caixa de seleęao Simulate para testar a gravaęao antes de 
realmente “queimar” o CD/DVD. Clique em Start para continuar. 

7 - Quando a gravaęao terminar, ejete o CD (ou ele pode ser automaticamente ejetado) e o rotule de 
forma adequada (informaęóes como o nome da distribuięao, numero de versao, data e nome da 
imagem ISO). 

Agora voce esta pronto para comeęar a instalar (ou iniciar) a distribuięao Linux que acabou de gravar. 

Gravando CDs a partirdeuma linha decomando do Linux 

Se nao tiver nenhuma GUI ou nao se importar de trabalhar a partir do shell, voce pode usar o comando 
cdrecord para gravar as ISOs. Com um CD virgem inserido e a imagem ISO que voce quer gravar no 
diretório atual, voce pode usar a simples linha de comando a seguir para gravar uma imagem de CD no 
CD virgemusando cdrecord: 

# cdrecord -v nomeDalmagem.iso 

Consulte a pagina man de cdrecord (man cdrecord) para outras opęóes disponiveis como 
comando cdrecord. 


Iniciando o Linux a partir de um pen drive USB 

Em vez de gravar imagens ISO emumCD ou DVD, voce pode colocar seu sistema Linux emumpen 
drive USB. Pen drives USB oferecem a vantagem de ser regravaveis, bem como de facil leitura, de modo 
que voce pode salvar seu conteudo entre as sessóes. Amaioria dos computadores modernos pode iniciar 
a partir de um pen drive USB, embora voce possa ter de interromper o processo de inicializaęao para 
instruir a BIOS a inicializar a partir da unidade USB em vez do disco rigido ou CD/DVD. 

\bce pode encontrar os procedimentos para colocar o Fedora e Ubuntu em um pen drive USB nos 
seguintes locais: 

■ Fedora em um pen drive — Usando uma ferramenta chamada Live USB Creator 

(https : //f edorahosted. org/liveusb-creator/), voce pode instalar uma imagem 





ISO do Fedora emumpen drive USB. Para executar o Fedora a partir dessa unidade, conecte o 
pen drive em urna porta USB de seu computador, reinicie o computador, interrompa a BIOS 
ąuando ela estiver inicializando (possivelmente comF12) e selecione inicializar a partir de um 
pen drive USB. O procedimento para usar Live USB Creator encontra-se em: 

http://docs.fedoraproj ect.org/en- 

US/Fedora/16/html/Installation_Guide/Making_USB_Media.html 

■ Ubuntu em um pen drive USB — O Ubuntu tem procedimentos para a criaęao de urna unidade 
USB inicializavel que funciona em Windows, Mac OS X e Linux. Para saber como fazer isso, va 
ate a pagina de download do Ubuntu e selecione o tipo de midia (USB) e o sistema operacional 
(Windows, Mac ou Linux) que quer usar para criar o pen drive USB inicializavel: 

http://www.ubuntu.com/download/ubuntu/download 


siteositeL/nuxBible 


ira encontrar links para varias distribuięoes Linux, dicas sobre como obter certificaęao Linux 
correęoes deste livro a medida que elas se tornam disponiveis, visite 

tp://www.wiley.com/WileyCDA/WileyTitle/productCd-111821854X.html. 




APENDIC^ 


Respostas dos Exercicios 


E ste apendice fornece respostas para cada umdos exercicios dos capitulos. Ha muitas maneiras de 
completar tarefas no Linux. O que e fornecido aqui sao sugestóes. 

Alguns dos exercicios exigem que voce modifique arquivos de sistema, o que poderia mudar o 
funcionamento basico do sistema ou ate mesmo torna-lo nao inicializavel. Portanto, recomendamos que 
voce faęa os exerdcios emum sistema Linux que possa modificar e apagar se algo der errado. 


Capitulo 2: Criando o desktop Linux perfeito _ 

A seęao a seguir detalha algumas maneiras de fazer essas tarefas nos desktops GNOMĘ 2 e 3. 

1 - Para comeęar, voce precisa de um sistema Linux a sua frente para fazer os 
procedimentos neste livro. Um sistema instalado e preferivel porque voce nao perde 
as alteraędes ao reiniciar. Para comeęar, voce pode usar um Fedora Live CD (ou 
sistema instalado), um sistema Ubuntu instalado ou um sistema Red Hat Enterprise 
Linux instalado. Eis suas opęóes: 

■ Fedora Live CD (GNOMĘ 3) — Obtenha um Fedora Live CD como descrito no 

Apendice A. Execute-o como um Live CD, como descrito na seęao “Iniciando com 
o GNOMĘ Fedora Live CD”, do Capitulo 2, ou instale-o e execute-o a partir do 
disco rigido, como descrito no Capitulo 9, “Instalando o Linux”. 

■ Ubuntu (GNOMĘ 3) — Instale o Ubuntu e o GNOMĘ Shell, como descrito no inicio 

do Capitulo 2. 

■ Red Hat Enterprise Linux (GNOMĘ 2) — Instale o Red Hat Enterprise Linux, 

como descrito no Capitulo 9. 

2 - Para iniciar o navegador web Firefox e ir para a pagina inicial do GNOMĘ 
(http : / / gnomę . org), ha alguns passos faceis de seguir. Se sua rede nao estiver 
funcionando, consulte o Capitulo 14, “Administrando redes”, a firn de obter ajuda para 
se conectar a redes com e sem fio. 

■ GNOMĘ 3 

No GNOMĘ 3, voce pode pressionar a tecla Windows para alcanęar a tela 
Overview. Entao, digite Firefox para destacar apenas o icone do navegador Firefox. 




Pressione Enter para inicia-lo. Digite http : / /gnomę . org na caixa de 

localizaęao e pressione Enter. 

■ GNOMĘ 2 

No GNOMĘ 2, selecione o icone do Firefox na barra de menu superior. Digite 

http : / /gnomę . org na caixa de localizaęao e pressione Enter. 

3 - Para escolher um fundo de tela de que voce gostou no site de arte GNOMĘ 
(http : //art. gnomę . org/backgrounds), baixa-lo para a pasta Pictures e 
seleciona-lo como seu fundo atual no GNOMĘ 2 e 3, faęa o seguinte: 

■ Digite http : //art. gnomę . org/backgrounds na caixa de localizaęao do 

Firefox e pressione Enter. 

■ Encontre um fundo de que voce goste e clique em GO para exibi-lo. 

■ Clique com o botao direito do mouse na imagem e selecione Set as Desktop 

Background. 

■ No menu pop-up que aparece, selecione a posięao e a cor da imagem de fundo. 

■ Selecione o botao Set Desktop Background. A imagem e usada como fundo do 

desktop e copiada para o arquivo Firef ox_wallpaper .png emseu diretório 

inicial. 

4 - Para iniciar urna janela do Nautilus File Manager e move-la para o segundo espaęo de 
trabalho em seu desktop, faęa o seguinte: 

■ Para o GNOMĘ 3 

■ Pressione a tecla Windows. 

■ Clique no icone de arquivos no Dash (lado esquerdo) e arraste-o para um espaęo 
de trabalho nao utilizado no lado direito. Urna nova instancia do Nautilus inicia 
nesse espaęo de trabalho. 

■ Para o GNOMĘ 2 

■ Abra a pasta Home a partir do desktop GNOMĘ 2 (clique duplo). 

■ Clique com o botao direito do mouse na barra de titulo do Nautilus que aparece e 
selecione Move to Workspace Right ou Move to Another Workspace (voce pode 
selecionar qual espaęo de trabalho voce quer na lista). 

5 - Para encontrar a imagem que voce baixou para usar como fundo do desktop e abri-la 
emqualquer visualizador de imagem, primeiro va para sua pasta Home. 

A imagem deve aparecer nessa pasta quando voce abrir o Nautilus. Basta dar um 
clique duplo no icone Firef ox_wallpaper . png para abrir a imagem no 
visualizador de imagens padrao. Se voce tiver multiplos visualizadores de imagens em 
seu sistema, clique com botao direito no icone e selecione o aplicativo que voce quer 
usar para abri-lo. 

6 - Para alternar entre o espaęo de trabalho com o Firefox e o espaęo de trabalho com o 



gerenciador de arquivos Nautilus e bem simples. 

Se voce fez os exerdcios anteriores corretamente, o Nautilus e o Firefox devem estar 
emdiferentes espaęos de tiabalho. Veja como voce pode se mover entie esses espaęos 
de tiabalho no GNOMĘ 2 e 3: 

■ GNOMĘ 3 

Pressione a tecla Windows e clique duas vezes no espaęo de tiabalho que voce quer 
na coluna direita. Como alternativa, voce pode ir diretamente para o aplicativo 
desejado pressionando Alt+Tab e pressionando Tab novamente para destacar o 
aplicativo que quer abrir. 

■ GNOMĘ 2 

Selecione o espaęo de tiabalho que voce quer como mouse clicando na pequena 
representaęao do espaęo de tiabalho no lado direito da parte inferior do painel. Se 
voce habilitou Desktop Effects (System => Preferences Desktop Effects => Compiz), 
tente pressionar Ctil+Alt+seta para a direita (ou seta para a esquerda) para girar 
para o espaęo de tiabalho seguinte. 

7 - Para abrir urna lista de aplicativos instalados em seu sistema e selecionar um 
visualizador de imagens para abrir a partir dessa lista usando o minimo possivel de 
cliques ou teclas, faęa o seguinte: 

■ No GNOMĘ 3 

Mova o mouse para o canto superior esquerdo da tela para obter a tela de 
Overview. Selecione Applications, escolha Graphics na coluna da direita e, entao, 
clique em Image Yiewer. 

■ No GNOMĘ 2 

Selecione Applications => Graphics => Image Yiewer para abrir urna janela do 
yisualizador de imagens no desktop. 

8 - Para alterar a exibięao das janelas em seu espaęo de tiabalho atual para visualizaę5es 
menores dessas janelas, faęa o seguinte: 

■ No GNOMĘ 3 

Comyarias janelas abertas emyarios espaęos de tiabalho, pressione e segure as 
teclas Alt+Tab. Com a tecla Alt pressionada, pressione Tab ate destacar o 
aplicatiyo que yoce quer. Solte a tecla Alt para seleciona-lo. (Obserye que os 
aplicatiyos que nao estao na area de tiabalho atual estao a direita de urna linha 
dividindo os icones.) 

■ No GNOMĘ 2 

Comyarias janelas abertas emyarios espaęos de tiabalho, pressione e segure as 
teclas Ctil+Alt+TAB. Com as teclas Ctil+Alt Tab pressionadas, pressione Tab ate 
destacar o aplicatiyo desejado. Solte as teclas Ctrl e Alt para seleciona-lo. 

9 - Para carregar umleitor de musica a partir de seu desktop usando apenas o teclado, 



faęa o seguinte: 

■ No GNOMĘ 3 

■ Pressione a tecla Windows para ir para a tela Overview. 

■ Digite Rhyth (ate que o icone apareęa e seja destacado) e pressione Enter. (No 
Ubuntu, se voce nao tern o Rhythmbox instalado, digite Bansh para abrir o 
Banshee Media Player). 

■ No GNOMĘ 2 

Pressione Alt+F2. Apartir da caixa Run Application que aparece, digite 
rhy thmbox e pressione Enter. 

10 - Para tirar uma foto de seu desktop usando apenas o teclado, pressione a tecla Print 
Screen para fazer uma captura de tela de seu desktop inteiro, tanto no GNOMĘ 3 como 
GNOMĘ 2. Pressione Ctrl+Print Screen para tirar uma captura de tela apenas da 
janela atual. 


Capitulo 3: Utilizando o Shell 


1 - Para alternar entre os consoles virtuais e voltar para o desktop: 

■ Segure Ctrl+Alt e pressione F2 (Ctrl+Alt+F2). Umconsole baseado emtexto deve 

aparecer. 

■ Digite seu nome de usuario (pressione Enter) e senha (pressione Enter). 

■ Digite alguns comandos, como id, pwd e ls. 

■ Digite exit para sair do shell e voltar ao prompt de login. 

■ Pressione Ctrl+Alt+Fl para voltar ao console virtual que contem seu desktop. (Em 

diferentes sistemas Linux, o desktop pode estar emdiferentes consoles virtuais. 
Ctrl+Alt+F7 e outro jeito comumde encontra-lo.) 

2 - Para sua janela Terminal, torne a fonte yermelha e o fundo amarelo. 

■ No desktop GNOMĘ, selecione Applications => System Tools => Terminal para abrir 

uma janela Terminal. 

■ Na janela Terminal, selecione Edit => Profiles. 

■ Com Default destacado na janela Profiles, selecione Edit. 

■ Selecione a guia Colors e desmarque a caixa Use colors from system theme. 

■ Selecione a caixa ao lado Text Color, clique na cor yermelha que voce quiser na roda 

de cores e clique em OK. 

■ Selecione a caixa ao lado de Background Color, clique na cor amarela que voce quer 

na roda de cores e clique em OK. 




■ Cliąue em Close em cada janela para voltar para a janela Terminal com as novas 

cores. 

■ \blte e selecione novamente a caixa Use colors from system theme para restaurar as 

cores padrao Terminal. 

3 - Encontre o comando mount e a pagina man tracepath. 

■ Execute type mount para ver que a localizaęao do comando de mount e 

/bin/mount. 

■ Execute locate tracepath para ver que a pagina tracepath esta em man 

/usr/share/man/man8/tracepath.8.gz. 

4 - Execute, recupere e altere esses comandos como descrito: 

$ cat /etc/passwd 
$ ls $HOME 
$ datę 

■ Pressione a seta para cima ate ver o comando cat /etc/passwd. Se o cursor 

nao estiver no finał da linha, pressione Ctrl+E para chegar la. Pressione backspace 
sobre a palavra passwd, digite a palavra group e pressione Enter. 

■ Digite man ls e localize a opęao para listar pelo tempo (-t). Pressione a seta para 

cima ate ver o comando ls $HOME. Use a seta para a esquerda ou Alt+B para 
posicionar o cursor a esquerda de $HOME. Digite -t, para que a linha apareęa 
como ls -t $HOME. Pressione Enter para executar o comando. 

■ Digite man datę para ver a pagina man datę. Use a seta para cima para recuperar 

o comando datę e adicionar o indicador de fermato que voce encontrou. Um 
indicador de fermato %D fornecera os resultados de que voce precisa: 

$ datę +%D 

12 / 08/11 

5 - Use a conclusao de comando (tecla Tab) para digitar basename 
/usr/share/doc/. Digite basen<Tab>/u<Tab>sh<Tab>do<Tab> para 
obter o nome de base /usr/share/doc/. 

6 - Redirecione /etc/services para o comando less: 

$ cat /etc/services | less 

7 - Faęa a saida do comando datę aparecer no seguinte fermato: Hoje e quinta-feira, 8 
de dezembro, 2011. 

$ echo "Today is $ (datę +'%A, %B %d, %Y')" 

8 - Veja as variaveis para encontrar seu atual nome de usuario, hostname, shell e 
diretórios. 


$ echo $HOSTNAME 



$ echo $USERNAME 
$ echo $SHELL 
$ echo $HOME 


9 - Adicione um alias mypass permanente que exibe o conteudo do arquivo 

/ etc/passwd. 

■ Digite nano $HOME/ . bashrc. 

■ Mova o cursor para uma linha em branco na parte inferior da pagina (pressione Enter 

para criar uma nova linha se necessario). 

■ Em sua própria linha, digite alias m="cat /etc/passwd". 

■ Digite Ctrl+S para salvar e Ctrl+X para sair do arquivo. 

■ Digite source $HOME/.bashrc. 

■ Digite alias m para se certificar de que o apelido foi criado corretamente: 
ias m='cat /etc/passwd'. 

■ Digite m (o arquivo /etc/passwd e exibido na tela). 

10 - Para exibir a pagina man para a chamada de sistema de montagem, use o comando 
man - k para encontrar paginas man que incluem a palavra mount (usar ~ assegura 
que apenas os comandos que comeęam com a palavra mount sejamexibidos). Entao, 
use o comando mount como numero da seęao correta (2) para obter a pagina man 
mount apropriada: 

$ man -k **mount 

mount (2) ~ mount £ile system 

mount {0} - mount a filesystem 

mountpoint (1) ~ see i£ a directory is a mountpoint 

mountstats {8} - Displays NFS client per“mount 

statistics 
$ man 2 mount 

HCmCT(2> Lir.UK Program.-r.er' s Manuał M0UHT(2> 

NAME 

mount “ mount file system 
SYNOPSIS 

łinelude <sys/mount.h> 


Capitulo 4: Movendo-se pelo sistema de arquivos 


1 - Crie o diretório de projetos, crie nove arquivos vazios (housel para house9) e 
listę apenas esses arquivos. 

$ mkdir $HOME/projects/ 

$ touch $HOME/projects/house{1..9} 

$ ls $HOME/projects/house{1..9} 

2 - Crie o caminho do diretório $HOME/proj ects/houses/doors/ e crie alguns 
arquivos vazios nesse caminho. 





$ cd 

$ mkdir projects/houses 
$ touch /home/joe/houses/bungalow.txt 
$ mkdir $HOME/projects/houses/doors/ 

$ touch $HOME/projects/houses/doors/bifold.txt 
$ mkdir -p $HOME/projects/outdoors/vegetation/ 

$ touch projects/outdoors/vegetation/landscape.txt 

3 - Copie os arquivos housel e house5 para o diretório 

$HOME/projects/houses/. . 

$ cp $HOME/projects/house[15] $HOME/projects/houses 

4 - Copie recursivamente o diretório /usr/share/doc/initscripts* para o 
diretório $HOME/projects/. 

$ cp -ra /usr/share/doc/initscripts*/ ~ /projects/ 

5 - Listę recursivamente o conteudo do diretório $HOME/proj ects/. Redirecione a 
saida para o comando less para que voce possa percorrer a saida pagina por pagina. 

$ ls -IR $HOME/projects/ | less 

6 - Remova os arquivos house6, house7 semser perguntado se realmente deseja 
exclui-los. 

$ rm -f $HOME/projects/house[678] 

7 - Mova house3 e house4 para o diretório $HOME/proj ects/houses/doors. 

$ mv projects/house{3,4} projects/houses/doors/ 

8 - Exclua o diretório $HOME/pro j ects/houses/doors e seu conteudo. 

$ rm -rf projects/houses/doors/ 

9 - Altere as permissóes sobre o arquivo $HOME/pro j ects/house2 de modo que 
ele possa ser lido e gravado pelo usuario que possui o arquivo, apenas lido pelo 
grupo e que os outros nao tenham permissóes sobre ele. 

$ chmod 640 $HOME/projects/house2 

10 - Altere recursivamente as permissóes do diretório $HOME/proj ects/ para que 
ninguem tenha permissao de gravaęao para qualquer arquivo ou diretório abaixo desse 
ponto no sistema de arquivos. 

$ chmod -R a-w $HOME/projects/ 


Capitulo 5: Trabalhando com arquivos de texto 


1 - Siga estes passos para criar o arquivo de servięos /tmp/ e, entao, edite-o de forma 
que “WorldWideWeb” apareęa como “World Wide Web”. 




$ cp /etc/services /tmp 
$ vi /tmp/services 
/WorldWideWeb<Enter> 
cwWorld Wide Web<Esc> 

As duas linhas a seguir mostramo antes e depois. 

http 80/tcp www www-http # WorldWideWeb HTTP 

http 8 0/tcp www www-http # World Wide Web HTTP 

2 - Uma maneira de mover o paragrafo emseuarquivo /tmp/services e pesąuisar a 
primeira linha do paragrafo, excluir cinco linhas (5dd), ir para o finał do arquivo (G) 
e colocar o texto (p): 

$ vi /tmp/services 
/Notę that it is<Enter> 

5dd 

G 

P 

3 - Para usar o modo ex a fimde procurar todas as ocorrencias do termo tcp (com 
distinęao entre maiusculas e minusculas) em seu arquivo /tmp/services e altera¬ 
łaś para WHATEVER, voce pode di gitar o seguinte: 

$ vi /tmp/services 
:g/tcp/s//WHATEVER/g<Enter> 

4 - Para pesquisar no diretório /etc cada arquivo chamado passwde redirecionar os 
erros de sua pesquisa para /dev/null, voce pode digitar o seguinte: 

$ find /etc -name passwd 2> /dev/null 

5 - Crie um diretório no seu diretório inicial chamado TEST. Crie tres arquivos nesse 
diretório com os nomes one, two e three, e atribua permissóes plenas de 
leitura/gravaęao/execuęao sobre esses arquivos para todo mundo (usuario, grupo e 
outros). Construa um comando find que localize esses arquivos e outros arquivos 
que tern permissóes de gravaęao abertas para os “outros” a partir do seu diretório 
inicial e abaixo. 

$ mkdir $HOME/TEST 

$ touch $HOME/TEST/{one , two , three} 

$ chmod 777 $HOME/TEST/{one,two,three} 

$ find $HOME -perm -002 -type f -ls 


148120 0 -rwxrwxrwx 1 
/home/chris/TEST/two 

chris 

chris 

0 

Jan 

1 

08:56 

148918 0 -rwxrwxrwx 1 
home/chris/TEST/three 

chris 

chris 

0 

Jan 

1 

08:56 

147306 0 -rwxrwxrwx 1 

chris 

chris 

0 

Jan 

1 

08:56 



/home/chris/TEST/one 

6 - Localize arquivos no diretório /usr/share/doc que nao tenhamsido modificados 
ha mais de 300 dias. 

$ find /usr/share/doc -mtime +300 

7 - Crie umdiretório / tmp/FILES. Localize todos os arquivos no diretório 
/usr/share que tenhammais que 5MB e menos de 10MB e copie-os para o 
diretório /tmp/FILES. 

$ mkdir /tmp/FILES 

$ find /usr/share -size +5M -size -10M -exec cp {} 
/tmp/FILES \; 

$ du -sh /tmp/FILES/* 

7 . OM /tmp/FILES/cangjie5.db 

5.4M /tmp/FILES/cangjie-big.db 

8.3M /tmp/FILES/icon-theme.cache 

8 - Localize todos os arquivos no diretório /tmp/FILES e faęa urna cópia de backup de 
cada arquivo no mesmo diretório. Use o nome de cada arquivo existente e apenas 
anexe . mybackup para criar cada arquivo de backup. 

$ find /tmp/FILES/ -type f -exec cp {} {}.mybackup \; 

9 - Instale o pacote kernel-doc no Fedora ou no Red Hat Enterprise Linux. Usando a 
pesquisa grep, pesquise dentro dos arquivos contidos no diretório 
/usr/share/doc/kernel-doc* pelo termo elOOO (semdistinęao entre 
maiusculas e minusculas) e listę os nomes dos arquivos que contenham esse termo. 

# yum install kernel-doc 
$ cd /usr/share/doc/kernel-doc* 

$ grep -rli elOOO. 

./Documentation/powerpc/booting-without-of.txt 

/usr/share/doc/kernel-doc- 

2.6.32/Documentation/netwórking/el0 0.txt 

10 - Pesquise pelo termo elOOO novamente no mesmo local, mas desta vez listę cada 
linha que contem o termo e destaque o termo com cores. 

$ cd /usr/share/doc/kernel-doc-* 

$ grep -ri --color elOOO . 


Capitulo 6: Gerenciando processos em execuęao 


1 - Para listar todos os processos em execuęao em seu sistema com um conjunto completo 




de colunas, enąuanto redireciona a saida para less, digite o seguinte: 

$ ps -ef | less 

2 - Para listar todos os processos em execuęao no sistema e ordena-los pelo nome do 
usuario que executa cada processo, digite o seguinte: 

$ ps -ef —sort=user | less 

3 - Para listar todos os processos em execuęao no sistema com os nomes de coluna ID do 
processo, nome de usuario, nome do grupo, valor de nice, tamanho da memória yirtual, 
o tamanho da memória residente e de comando, digite o seguinte: 

5 ps -eo 'pid,user,group,nice,vsz,rss,comm' | less 

PID USER GROUP NI VSZ RSS COMiAND 

1 root root 0 19324 1236 init 

2 root root 0 00 kthreadd 

3 root root - 00 adgration/0 

4 root roct 0 0 0 ł:scftirqd/0 

4 - Para executar o comando top e, entao, alternar entre a ordempor uso de CPU e a 
ordempor consumo de memória, digite o seguinte: 

$ top 

P 

M 

P 

M 

5 - Para iniciar o processo gedit a partir de seu desktop e usar a janela System Monitor 
para eliminar esse processo, faęa o seguinte: 

$ gedit & 

Entao, selecione Applications => System Tools => System Monitor. Localize o 
processo gedit na guia Processes (voce pode classificar por ordem alfabetica, para 
facilitar a localizaęao, clicando no cabeęalho Process Name). Clique como botao 
direito do mouse no comando gedit e, entao, selecione End Process ou Kill Process 
e a janela gedit em sua tela deve desaparecer. 

6 - Para executar o processo gedit e usar o comando kill a firn de enviar um sinal 
para pausar (parar) esse processo, digite o seguinte: 

$ gedit & 

[1] 21532 

$ kill -SIGSTOP 21578 

7 - Para usar o comando killall a firn de instruir o comando gedit (pausado no 
exercicio anterior) a continuar a trabalhar, faęa o seguinte: 

$ killall -SIGCONT gedit 

Verifique se o texto digitado depois que gedit foi pausado agora aparece na janela. 

8 - Para instalar o comando xeyes, executa-lo cerca de 20 vezes em segundo piano e 
executar killall para eliminar todos os 20 processos xeyes de urna vez, digite o 



seguinte: 

# yum install xorg-xll-apps 
$ xeyes & 

$ xeyes & 

$ killall xeyes & 

Lembre-se, voce precisa ser o usuario root para instalar o pacote. Depois disso, 
lembre-se de repetir o comando xeyes 20 vezes. Distribua as janelas pela tela e 
mova o mouse apenas por diversao observando o movimento olhos. Todas as janelas 
xeyes devem desaparecer de uma vez quando voce digitar killall xeyes. 

9 - Como umusuario regular, execute o comando gedit para que ele inicie comum 
valor de nice de 5. 

# nice -n 5 gedit & 

[1] 21578 

10 Para utilizar o comando renice a firn de alterar o valor nice do comando gedit 
que voce acabou de iniciar como 7, digite o seguinte: 

# renice -n 7 21578 

21578: old priority 0, new priority 7 

Utilize qualquer comando que voce quiser para yerificar se o valor atual nice do 
comando gedit ja esta configurado como 7. Por exemplo, voce poderia digitar o 
seguinte: 

# ps -eo 'pid,user,nice,comm' | grep gedit 

21578 chris 7 gedit 

Capitulo 7: Escreyendo Scripts de Shell simples _ 

1 - Eis umexemplo de como criar um script emseu diretório $HOME/bin chamado 
myownscript. Quando o script e executado, ele deve apresentar informaęóes que 
se parecemcomo seguinte: 

Today is Sat Dec 10 15:45:04 EST 2011. 

You are in /home/joe and your host is abc.example.com. 

Os passos a seguir mostramuma maneira de criar o script chamado myownscript: 

■ Se ele nao existir, crie um diretório bin: 

$ mkdir $HOME/bin 

■ Usando qualquer editor de texto, crie um script chamado 

$HOME/bin/myownscript que contemo seguinte: 


#!/bin/bash 




# myownscript 

# List some information about your current system 
echo "Today is $(datę) 

echo "You are in $(pwd) and your host is $(hostname) 

■ Torne o script executavel: 

$ chmod 755 $HOME/bin/myownscript 

2 - Para criar um script que le tres parametros posicionais na linha de comando, atribui os 
parametros as variaveis nomeadas ONE, TWO e THREE, respectivamente, e, entao, 
gera essa informaęao no fermato especificado, faęa o seguinte: 

Substitua X pelo numero de parametros e Y por todos os parametros inseridos. Entao, 
substitua A pelo conteudo da variavel ONE, B pela variavel TWO e C pela variavel 

THREE. 

■ Eis um exemplo do que esse script pode conter: 

#!/bin/bash 

# myposition 
ONE=$1 
TW0=$2 
THREE=$ 3 

echo "There are $# parameters that include: $@" 

echo "The first is $ONE, the second is $TWO, the third is 

$THREE." 

■ Para tornar o script executavel, digite o seguinte: 

$ chmod 755 $HOME/bin/myposition 

■ Para testa-lo, execute-o comalguns argumentos de linha de comando, como a seguir: 

$ myposition Where Is My Hat Buddy? 

There are 5 parameters that include: Where Is My Hat 
Buddy? 

The first is Where, the second is Is, the third is My. 

3 - Para criar o script descrito, faęa o seguinte: torne o script executavel: 

$ chmod 755 $HOME/bin/myposition 

■ Eis como script mytown pode ficar: 

#!/bin/bash 

# myhome 

read -p "What Street did you grow up on? " mystreet 
read -p "What town did you grow up in? " mytown 
echo "The Street I grew up on was $mystreet and the town 
was $mytown." 


■ Execute o script para verificar se fenciona. O exemplo a seguir mostra como 



poderiam ser a entrada e a saida do script: 

$ myhome 

What Street did you grow up on? Harrison 

What town did you grow up in? Princeton 

The Street I grew up on was Harrison and the town was 

Princeton. 

4 - Para criar o script necessario, faęa o seguinte: Usando qualquer editor de texto, crie 
umscript chamado $HOME/bin/myos e torne o script executavel: 

$ chmod 755 $HOME/bin/myos 

■ O script pode conter o seguinte: 

#!/bin/bash 

# myos 

read -p "What is your favorite operating system. Mac, 
Windows or 
Linux? " 
opsys 

if [ $opsys = Mac ] ; then 

echo "Mac is nice, but not tough enough for me." 
elif [ $opsys = Windows ] ; then 

echo "I used Windows once. What is that blue screen for?" 
elif [ $opsys = Linux ] ; then 

echo "Great Choice !" 
else 

echo "Is $opsys an operating system?" 
fi 

5 - Para criar um script chamado $ HOME/bin/an ima is que le as palavras moose, 
cow, goose e sow por meio de um loop e coloca cada urna dessas palavras ao finał da 
linha “I have a...”, faęa o seguinte: 

■ Torne o script executavel: 

$ chmod 755 $HOME/bin/animals 

■ O script pode conter o seguinte: 

#!/bin/bash 

# animals 

for ANIMALS in moose cow goose sow ; do 
echo "I have a $ANIMALS" 


done 



■ Quando voce executar o script, a saida deve ser a seguinte: 

$ animals 

I have a moose 
I have a cow 
I have a goose 
I have a sow 


Capftulo 8: Aprendendo administraęao de sistema 


1 - \bce pode abrir a janela Datę & Time a partir de um desktop GNOMĘ no RHEL ou no 
Fedora, seguindo urna destas instruęóes: 

■ Abra urna janela Terminal e digite system-conf ig-date. Se fizer isso como um 

usuario comum, voce sera solicitado a informar a senha de root. 

■ Em um desktop GNOMĘ 2. X, selecione System Administration Datę & Time. 

■ Em um desktop GNOMĘ 3, selecione Activities => Applications => System-Config- 

Date. 

Quando a janela Datę & Time se abrir, selecione a guia Time Zonę para verificar seu 
fuso horario. 

2 - Para executar um comando psa firn de ordenar todos os processos em execuęao no 
sistema pelo nome de usuario, digite o seguinte: 

$ ps -e£ —sort=u5er I less 


chris 

3774 

3202 

0 

21:08 

pts/0 

00 : 00:00 

less 

dbus 

1569 

1 

0 

20:42 

0 

00 : 00:00 

djDus~daemon 

—syssei 

n 







gćłm 

2616 

1 

0 

20:44 

? 

00 : 00:00 

/usr/bin/dbua“ 

launch 








es 

2010 

1 

0 

20:43 

s 

00 : 00:00 

hałd 

ip 

1971 

1970 

0 

20:43 

7 

00 : 00:00 

cups-polld esample 

root 

1 

0 

0 

20:40 

7 

00 : 00:01 

/sbin/inis 


3 - Para encontrar todos os arquivos no diretório /var/spool que pertencema outros 
usuarios que nao root e criar urna longa lista deles, digite o seguinte (recomendo se 
tornar root para encontrar arquivos que podemestar ocultos de outros usuarios): 

$ su - 

Password: ********* 

# find /var/spool -not -user root -ls | less 

4 - Para tornar-se usuario root e criar um arquivo vazio ou um arquivo de texto simples 
chamado /mnt/test. txt, digite o seguinte: 

$ su - 

Password: ********* 

# touch /mnt/test.txt 

# ls -1 /mnt/test.txt 




-rw-r--r--. 1 root root 0 Jan 9 21:51 /mnt/test.txt 

5 - Para se tornar root e editar o arquivo /etc/sudoers a fimde permitir que sua 
conta de usuario regular (por exemplo, bill) tenha privilegios de root completos por 
meio do comando sudo, faęa o seguinte: 

$ su - 

Password: ********* 

# visudo 

o bill ALL=(ALL) ALL 
Esc ZZ 

Como visudo abre o arquivo /etc/sudoers no vi, o exemplo di gita o para abrir 
urna linha e depois digita a linha para permitir que bill tenha privilegios de root 
completos. Depois que a linha e digitada, pressione ESC para voltar ao modo de 
comando e digite Z Z para gravar e sair. 

6 - Para usar o comando sudo a fimde criar umarquivo chamado /mnt/test2 . txt e 
yerificar se o arquivo esta la e pertence ao usuario root, digite o seguinte: 

[bill]$ sudo touch /mnt/test2.txt 

We trust you have received the usual lecture from the 
local System 

Administrator. It usually boils down to these three 
things: 

#1) Respect the privacy of others. 

#2) Think before you type. 

#3) With great power comes great responsibility. 

[sudo] password for bill: 

[bill]$ ls -1 /mnt/text2.txt 

-rw-r—r—. 1 root root 0 Jan 9 23:37 /mnt/text2. txt 

7 - Para observar as mensagens que sao gravadas no arquivo /var/log/messages 
quando voce conecta um pen drive USB (que sera montado automaticamente) e depois 
desmontar o dispositivo e remove-lo, faęa o seguinte: 

■ Torne-se o usuario root e veja as mensagens a medida que elas entram em 
/var/ log/messages, fazendo o seguinte: 

$ su - 

Password: ********* 

# taił -f /var/log/messages 

Jan 9 23:44:14 chris kernel: usb 1-1.1: new high speed 
USB device 

using ehci_hcd and address 6 

Jan 9 23:44:15 chris kernel: usb 1-1.1: New USB device 



found, 

idVendor=090c, idProduct=l000 


Jan 9 23:44:15 chris kernel: Initializing USB Mass 
Storage driver... 

Jan 9 23:44:15 chris kernel: scsi6: SCSI emulation for 
USB Mass Storage devices 


Jan 9 23:44:21 chris kernel: sd 6:0:0:0: [sdb] 8343552 
512-byte logical 
blocks: 

(4.27 GB/3.97 GiB) 

Jan 9 23:44:21 chris kernel: sd 6:0:0:0: [sdb] Write 
Protect is off 

Jan 9 23:44:21 chris kernel: sd 6:0:0:0: [sdb] Assuming 
drive cache: 

write through 

Jan 9 23:44:21 chris kernel: sd 6:0:0:0: [sdb] Assuming 
drive cache: 

write through 

Jan 9 23:44:21 chris kernel: sdb: sdbl 

■ Desmonte o dispositivo clicando no icone do dispositivo no desktop e selecionando 

SafelyRemove Drive ou, como root, digite umount /media/?????, onde ????? 
e substituido pelo nome criado ąuando o dispositivo foi montado. 

■ Remova o dispositivo, mas continue a observar o arquivo de mensagens. Entao, 

pressione Ctrl+C a firn de parar a anexaęao de mensagens ao finał do arquivo. 

8 - Para ver quais dispositivos USB estao conectados ao computador, digite o seguinte: 

$ lsusb 

9 - Para carregar o módulo bttv, listar os módulos que foram carregados e descarrega- 
lo, digite o seguinte: 

# modprobe -a bttv 

# lsmod | grep bttv 

bttv 124516 0 

v412_common 10572 lbttv 

videobuf dma sg 9814 lbttv 





20076 2bttv,videobuf_dma_sg 
4416 lbttv 
19686 7ir_lirc_codec,ir 
rc6 decoder 


videobuf_core 

btcx_risc 

rc_core 

ir jvc decoder,ir 

tveeprom 

videodev 

i2c_algo_bit 

i2c_core 

i2c i801,i915,drm 


14042 

lbttv 

76244 

3bttv,v412 

5728 

2bttv,i915 

31274 

9bttv,v412 


kms_helper 


sony_decod( 


common,uvcvideo 


common,tveeprom,v: 


Observe que outros módulos (v412_common, videodev e 
outros) foram carregados ąuando voce carregou bttv com 
modprobe -a. 

10 Digite o seguinte para remover o módulo bttv, juntamente comtodos os outros 
módulos que foram carregados comele. Repare que todos eles desaparecem depois 
que voce executa modprobe -r. 

# modprobe -r bttv 

# lsmod | grep bttv 


Capitulo 9: Instalando o Linux 


1 - Para instalar um sistema Fedora a partir de um Live CD Fedora, siga as instruęóes na 
seęao “Instalando o Fedora a partir de umLive CD”. Emgeral, os passos incluem: 

■ Inicializar o Live CD. 

■ Clicar no icone Install to Hard Drive no desktop. 

■ Adicionar informaęóes como solicitado sobre seu teclado, armazenamento, fuso 

horario, hostname, senha de root e outras informaęóes necessarias para configurar 
inicialmente seu sistema. 

■ Reinicializar o computador, remover o Live CD e, entao, inicializar o novo sistema 

instalado a partir do disco rigido. 

2 - Para atualizar os pacotes, depois que a instalaęao do Fedora Live CD esta completa, 
faęa o seguinte: 

■ Reinicie o computador e responda as perguntas da primeira inicializaęao quando 

solicitado. 

■ Usando urna conexao com ou sem fio, certifique-se de ter urna conexao com a 

internet. Consulte o Capitulo 14, “Administrando redes”, caso tenha problemas em 
fazer sua conexao de rede funcionar corretamente. Abra um shell como o usuario 




root e digite yum update. 

■ Quando solicitado, digite y para aceitar a lista de pacotes exibidos. O sistema 

comeęa a baixar e instalar os pacotes. 

3 - Para executar a instalaęao RHEL no modo texto, faęa o seguinte: 

■ Inicialize o DVD do RHEL. 

■ Quando vir o carregador de inicializaęao comeęar a contagem regressiva, pressione 

a tecla para interromper o processo de inicializaęao. 

■ Com o titulo do sistema RHEL que voce quer inicializar em destaque, pressione e. 

Mover o cursor para a direita ate o firn da linha do kernel e digite a opęao literał 
text no finał da linha. Pressione Enter e entao b para inicializar. 

■ Teste o resto da instalaęao no modo texto. 

4 - Para definir o particionamento de disco, tal como descrito na questao 4, para um DVD 
de instalaęao Linux RedHat Enterprise, faęa o seguinte: 


Nota 

Esse procedimento acabara apagando todo o conteudo do disco rigido. Se quiser apenas usar este 
exercicio para a pratica de particionamento, voce pode reiniciarseu computadorantes de clicarem Next 
no finał desse procedimento, sem apagar seu disco rigido. Mas se quiser prosseguir e particionar seu 
disco, lembre-se de que todos os dados serao excluidos. 


■ Em um computador, voce pode apagar compelo menos 11GB de espaęo em disco, 

insira um DVD de instalaęao do RHEL, reinicie e comece a seguir as telas de 
instalaęao. 

■ Quando chegar a tela que pergunta que tipo de instalaęao voce deseja, selecione 

Create Custom Layout e clique em Next. 

■ A partir da tela de particionamento de disco, selecione o dispositivo a ser usado para 

a instalaęao (provavelmente sda se voce tiver umunico disco rigido que pode 
apagar completamente). 

■ Para criar urna partięao de 400MB/boot, selecione a linha Free e selecione Create. 

No pop-up Create Storage, selecione a partięao padrao e clique em Create. No pop- 
up Add Partition, insira /boot como Mount Point, ext4 como sistema de 
arquivos e 400 como o tamanho e, entao, clique em OK. 

■ Para criar urna partięao LVM de 10GB, selecione a linha Free e clique em Create. No 

pop-up Create Storage, selecione LVM Physical \blume e clique em Create. No 
pop-up Add Partition, digite 10000 como o tamanho, selecione Fixed size e clique 
em OK. 

■ Para criar um grupo de volumes chamado trać ker a partir volume frsico LVM que 

voce acabou de criar, clique em Create. No pop-up Create Storage de \blume, 







selecione LVM \blume Group e clique em Create. No pop-up Make LVM \blume 
Group, digite tracker como o \blume Group Name. Verifique se ha urna marca 
de seleęao ao lado do dispositivo LVM que voce acabou de criar na caixa \blumes 
to Use e clique em OK. 

■ Para criar urna partięao / de 3GB a partir do grupo de volumes tracker, selecione 

o grupo de volumes tracker que voce acabou de criar sob LVM \blume Groups e 
selecione Edit. No pop-up Edit LVM \blume Group, selecione Add. No pop-up 
Make Logical \blume digite / para Mount Point, digite 3000 para Size e selecione 
OK. Selecione OK para voltar a tela principal. 

■ Para criar urna partięao / var de 2 GB a partir do grupo de yolumes tracker, 

selecione o grupo de yolumes tracker que voce acabou de criar sob LVM 
\blume Groups e selecione Edit. No pop-up Edit LVM \blume Group selecione 
Add. No pop-up Make Logical \blume digite /var para Mount Point, digite 2000 
para Size e selecione OK. Selecione OK para yoltar a tela principal. 

■ Para criar urna partięao /home de 3GB a partir do grupo de yolumes tracker, 

selecione o grupo de yolumes tracker que voce acabou de criar sob LVM 
\blume Groups e selecione Edit. No pop-up Edit LVM \blume Group selecione 
Add. No pop-up Make Logical \blume digite /home para Mount Point, digite 
3000 para Size e selecione OK. Selecione OK para yoltar a tela principal. 

Nesse ponto, voce deve ver tracker sob LVM \blume Groups e tres partięóes (/, /var e 
/home) listadas sob o grupo tracker. Sob Hard Drives, voce deve ver o nome do seu 
disco (provavelmente sda) coma partięao /boot e o volume fisico tracker listados sob 
isso. Agora voce tern a opęao de continuar com a instalaęao clicando em Next ou, se nao 
quiser concluir a instalaęao, pode simplesmente reiniciar o computador e remoyer o disco 
semter feito nenhumdano ao seu sistema instalado atualmente. 


Capitulo 10: Obtendo e gerenciando software _ 

1 - Para pesquisar o pacote que fornece o comando mogrif y no repositório YUM, 
digite o seguinte: 

# yum provides mogrify 

2 - Para exibir informaęóes sobre o pacote que fornece o comando mogrif y e 
determinar qual e pagina inicial (URL) desse pacote, digite o seguinte: 

# yum info ImageMagick 

\bce vera que o URL da pagina inicial do ImageMagick e 

http://www.imagemagick.org. 

3 - Para instalar o pacote contendo o comando mogrif y, digite o seguinte: 

# yum install ImageMagick 




4 - Para listar todos os arquivos de documentaęao contidos no pacote que fornece o 
comando mogrif y, digite o seguinte: 

# rpm -qd ImageMagick 

/usr/share/doc/ImageMagick-6.7.0.10/README.txt 


/usr/share/man/manl/identify.1.gz 
/usr/share/man/manl/import.1.gz 
/usr/share/man/manl/mogrify.1.gz 

5 - Para examinar o changelog do pacote que fornece o comando mogrif y, digite o 
seguinte: 

# rpm -q --changelog ImageMagick | less 

6 - Para apagar o comando mogrif y de seu sistema e verificar seu pacote no banco de 
dados RPM a firn de ver que o comando esta realmente faltando, digite o seguinte: 

# type mogrify 

mogrify is /usr/bin/mogrify 

# rm /usr/bin/mogrify 

rm remove regular file '/usr/bin/mogrify'? 

# rpm -V ImageMagick 

missing /usr/bin/mogrify 

7 - Para reinstalar o pacote que fornece o comando mogrify e certificar-se de que todo 
o pacote esta intacto novamente, digite o seguinte: 

# yum reinstall ImageMagick 

# rpm -V ImageMagick 

8 - Para baixar o pacote que fornece o comando mogrify para o diretório atual, digite o 
seguinte: 

# yumdownloader ImageMagick 

ImageMagick-6.7.0.10-4.fcl6.i686.rpm 

9 - Para exibir informaęóes gerais sobre o pacote que voce acabou de baixar, consultando 
arquivo do pacote RPM no diretório atual, digite o seguinte: 

# rpm -qip ImageMagick-6.7.0.10-4.fcl6.i686.rpm 


Name 

Version 

Release 

Architecture 


ImageMagick 
6.7.0.10 
4 . f cl 6 
i68 6 


10 Para remoyer o pacote contendo o comando mogrify de seu sistema, digite o 




seguinte: 

# yum remove ImageMagick 


Capitulo 11: Gerenciando contas de usuario _ 

Para as quest5es que envolvem a adięao e remoęao de contas de usuario, voce pode usar a janela User 
Manager ou ferramentas de linha de comando como useradd e usermod. Aideia aqui e garantir que 
voce obtenha os resultados corretos mostrados nas respostas que se seguem, nao necessariamente faze-las 
exatamente da mesma maneira como eu fiz. Ha varias maneiras como voce pode conseguir os mesmos 
resultados. As respostas aqui mostramcomo completar os exercicios a partir da linha de comando. 
(Torne-se o usuario root quando voce vir um prompt #.) 

1 - Para adicionar urna conta de usuario local a seu sistema Linux que temumnome de 
usuario jbaxter e umnome completo JohnBaxter, que usa /bin/sh como seu shell 
padrao e que e o próximo UID disponivel (o seu pode ser diferente do mostrado aqui), 
digite o seguinte. \bce pode usar o comando grep para verificar a nova conta de 
usuario. Entao, defina a senha para jbaxter como: MylNlteOut! 

# useradd -c "John Baxter" -s /bin/sh jbaxter 

# grep jbaxter /etc/passwd 

jbaxter:x:1001:1001:John Baxter:/home/jbaxter:/bin/sh 

# passwd jbaxter 

Changing password for user jbaxter 
New password: MylNlteOut! 

Retype new password: MylNlteOut! 

passwd: all authentication tokens updated successfully 

2 - Para criar urna conta de grupo com o nome testing que usa o ID de grupo 315, digite o 
seguinte: 

# groupadd -g 315 testing 

# grep testing /etc/group 

testing:x:315: 

3 - Para adicionar jbaxter ao grupo testing e ao grupo bin, digite o seguinte: 

# usermod -aG testing,bin jbaxter 

# grep jbaxter /etc/group 

bin:x:1:bin,daemon,jbaxter 
jbaxter:x:1001: 
testing:x:315:jbaxter 

4 - Para se tornar jbaxter e, temporariamente, fazer o grupo testing ser grupo padrao de 
jbaxter, execute touch /home/jbaxter/file . txt — assimo grupo testing 
sera definido como grupo do arquivo — e faęa o seguinte: 

$ su - jbaxter 




Password: MylNlteOut! 

-sh-4.2$ newgrp testing 

sh-4.2$ touch /home/jbaxter/file.txt 

sh-4.2$ ls -1 /home/baxter/file.txt 

-rw-rw-r—. 1 jbaxter testing 0 Jan 25 06:42 
/home/jbaxter/file.txt sh-4.2$ exit ; exit 

5 - Observe que ID de usuario foi atribuido a jbaxter e entao exclua a conta do usuario 
semexcluir o diretório inicial atribmdo a jbaxter. 

$ userdel jbaxter 

6 - Use o seguinte comando para localizar arquivos no diretório /home (e seus 
subdiretórios) que sao atribmdos ao ID de usuario que recentemente pertencia ao 
usuario chamado jbaxter (quando fiz isso, ambos, UID e GID, eram 1001; o seu pode 
diferir). Observe que o nome de usuario jbaxter ja nao esta atribuido no sistema, de 
modo que todos os arquivos que o usuario criou sao listados como pertencentes ao 
UID 1001 e ao GID 1001, exceto por dois arquivos que foram atribuidos ao grupo 
testing, por causa do comando newgrp executado anteriormente: 

# find /home -uid 1001 -ls 


262184 4 drwx- 4 1001 1001 4096 Jan 25 08:00 

/home/jbaxter 

262193 4 -rw-r—r— 1 1001 1001 176 Jan 27 2011 
/home/jbaxter/.bash_profile 

262196 4 -rw- 1 13602 testing 93 Jan 25 08:00 

/home/jbaxter/.bash_history 

262194 0 -rw-rw-r-- 1 13602 testing 0 Jan 25 07:59 


/home/jbaxter/file.txt 


7 - Execute esses comandos para copiar o arquivo /etc/services para o diretório 
/etc/skel/; entao adicione ao sistema umnovo usuario chamado mjones, como 
nome completo Mary Jones e um diretório inicial /home/maryj ones. Listę seu 
diretório inicial para garantir que o arquivo services esta la. 

# cp /etc/services /etc/skel/ 

# useradd -d /home/maryjones -c "Mary Jones" mjones 

# ls -1 /home/maryjones 

total 628 

-rw-r—r—. 1 mjones mjones 640999 Jan 25 06:27 services 

8 - Execute o seguinte comando para localizar todos os arquivos no diretório /home que 
pertencema mjones. Se voce fez os exercicios na ordem, notę que excluiu o usuario 
com o ID de usuario e o ID de grupo mais altos, esses numeros foram designados a 
mjones. Como resultado, todos os arquivos existentes no sistema que pertenciama 
jbaxter agora pertencema mjones. (Por essa razao, voce deve remover ou alterar a 
posse de arquivos deixados para tras ao excluir um usuario.) 





# find /home -user mjones -ls 


262184 4 drwx- 4 mjones mjones 4096 Jan 25 08:00 

/home/jbaxter 

262193 4 -rw-r—r— 1 mjones mjones 176 Jan 27 2011 
/home/jbaxter/.bash_profile 

262189 4 -rw-r—r— 1 mjones mjones 18 Jan 27 2011 
/home/jbaxter/.bash_logout 

262194 0 -rw-rw-r— 1 mjones testing 0 Jan 25 07:59 
/home/jbaxter/file.txt 

262188 4 -rw-r—r— 1 mjones mjones 124 Jan 27 2011 
/home/jbaxter/.bashrc 

262197 4 drwx- 4 mjones mjones 4096 Jan 25 08:27 

/home/maryjones 

262207 4 -rw-r—r— 1 mjones mjones 176 Jan 27 2011 
/home/maryjones/.bash_profile 

262202 4 -rw-r—r— 1 mjones mjones 18 Jan 27 2011 
/home/maryjones/.bash_logout 

262206 628 -rw-r—r— 1 mjones mjones 640999 Jan 25 08:27 
/home/maryj ones/services 

262201 4 -rw-r—r— 1 mjones mjones 124 Jan 27 2011 


/home/maryjones/.bashrc 

9 - Como o usuario mjones, voce pode usar o seguinte para criar um arquivo chamado 
/tmp/mary file . txt e usar ACLs para atribuir ao usuario bin e ao grupo lp 
permissao de leitura/gravaęao sobre esse arquivo. 

[mjones]$ touch /tmp/maryfile.txt 
[mjones]$ setfacl -m u:bin:rw /tmp/maryfile.txt 
[mjones]$ setfacl -m g:lp:rw /tmp/maryfile.txt 
[mjones]$ getfacl /tmp/maryfile.txt 

# file: tmp/maryfile.txt 

# owner: mjones 

# group: mjones 
user::rw- 

user:bin:rw- 
group::rw- 
group:lp:rw- 
mask::rw- 
other::r — 

10 Execute esse conjunto de comandos (como mj ones) para criar umdiretório chamado 
/tmp/mydir e usar ACLs para atribuir permissdes padrao sobre ele de tal modo 
que o usuario adm tenha permissao de leitura/gravaęao/execuęao sobre esse diretório 
e todos os arquivos ou diretórios criados dentro dele. Teste se isso funcionou criando 
o diretório / tmp/mydir/testing/ e / tmp/mydir/newf ile . txt. 

[mary]$ mkdir /tmp/mydir 





[mary]$ setfacl -m d:u:adm:rwx /tmp/mydir 
[mjones]$ getfacl /tmp/mydir 

# file: tmp/mydir 

# owner: mjones 

# group: mjones 
user::rwx 
group::rwx 
other::r-x 

default:user::rwx 
default:user:adm:rwx 
default:group::rwx 
default:mask::rwx 
default:other::r-x 

[mjones]$ mkdir / tmp/mydir/testing 
[mjones]$ touch /tmp/mydir/newfile.txt 
[mjones]$ getfacl /tmp/mydir/testing/ 

# file: tmp/mydir/testing/ 

# owner: mjones 

# group: mjones 
user::rwx 

user:adm:rwx 

group::rwx 

mask::rwx 

other::r-x 

default:user::rwx 

default:user:adm:rwx 

default:group::rwx 

default:mask::rwx 

default:other::r-x 

[mjones]$ getfacl /tmp/mydir/newfile.txt 

# file: tmp/mydir/newfile.txt 

# owner: mjones 

# group: mjones 

user::rw- 

user:adm:rwx #effective:rw- 

group::rwx #effective:rw- 

mask::rw- 
other::r-- 

Note que o usuario adm efetivamente temapenas permissao rw-. Para remediar isso, 
voce precisa expandir as permissóes da mascara. Uma maneira de fazer isso e com o 
comando chmod, como segue: 



[mjones]$ chmod 775 /tmp/mydir/newfile.txt 
[mjones]$ getfacl /tmp/mydir/newfile.txt 

# file: tmp/mydir/newfile.txt 

# owner: mjones 

# group: mjones 
user::rwx 

user:adm:rwx 
group::rwx 
mask::rwx 
other::r-x 


Capitulo 12: Gerenciando discos e sistemas 
de arguiyos _ 

1 - Para determinar o nome do dispositivo de umpen drive que voce quer inserir em seu 
computador, digite o seguinte e insira o pen drive. 

# taił -f /var/log/messages 

kernel: [sdb] 15667200 512-byte logical blocks: 

(8.02 GB/7.47 GiB) 

Feb 11 21:55:59 cnegus kernel: sd 7:0:0:0: 

[sdb] Write Protect is off 

Feb 11 21:55:59 cnegus kernel: [sdb] Assuming 
drive cache: write through 

Feb 11 21:55:59 cnegus kernel: [sdb] Assuming 
drive cache: write through 

2 - Para listar as partięóes no pen drive, digite o seguinte: 

# fdisk -c -u -1 /dev/sdb 

3 - Para apagar partięóes no pen drive, assumindo o dispositivo /dev/sdb, faęa o 
seguinte: 

# fdisk -cu /dev/sdb 

Command (m for help): d 
Partition number (1-6): 6 
Command (m for help): d 
Partition number (1-5): 5 
Command (m for help): d 
Partition number (1-5): 4 
Command (m for help): d 




Partition number (1-4) : 3 
Command (m for help): d 
Partition number (1-4): 2 
Command (m for help): d 
Selected partition 1 
Command (m for help): w 

# partprobe /dev/sdb 

4 - Para adicionar urna partięao Linux de 100MB, partięao de troca de 200MB e partięao 
LVM de 500MB ao pen drive, digite o seguinte: 

# fdisk -cu /dev/sdb 

Command (m for help) : n 
Command action 

e extended 

p primary partition (1-4) 

P 

Partition number (1-4): 1 

First sector (2048-15667199, default 2048): <ENTER> 

Last sector, łsectors or +size{K,M,G} (default 15667199): 

+100M 

Command (m for help) : n 
Command action 

e extended 

p primary partition (1 - 4) 

P 

Partition number (1-4) : 2 

First sector (616448-8342527, default 616448): <ENTER> 
Last sector, łsectors or +size{K,M,G} (default 15667199): 
+20 OM 

Command (m for help) : n 
Command action 

e extended 

p primary partition (1-4) 

P 

Partition number (1-4): 3 

First sector (616448-15667199, default 616448): <ENTER> 
Using default value 616448 

Last sector, łsectors or +size{K,M,G} (default 15667199): 

+500M 

Command (m for help) : t 
Partition number (1-4) : 2 



(Linux swap / 


Hex codę (type L to list codes): 82 
Changed system type of partition 2 to 82 
Solaris) 

Command (m for help): t 
Partition number (1-4) : 3 
Hex codę (type L to list codes): 8e 
Changed system type of partition 3 to 8e (Linux LVM) 
Command (m for help): w 

# partprobe /dev/sdb 

# grep sdb /proc/partitions 


8 

16 

7833600 

sdb 

8 

17 

102400 

sdbl 

8 

18 

204800 

sdb2 

8 

19 

512000 

sdb 3 


5 - Para colocar um sistema de arquivos ext3 na partięao Linux, digite o seguinte: 

# mkfs -t ext3 /dev/sdbl 

6 - Para criar umponto de montagem chamado /mnt/mypart e montar a partięao Linux 
nele temporariamente, faęa o seguinte: 

# mkdir /mnt/mypart 

# mount -t ext3 /dev/sdbl /mnt/mypart 

7 - Para criar a partięao de troca e ativa-la de modo que nao haja espaęo de troca 
adicional imediatamente disponivel, digite o seguinte: 

# mkswap /dev/sdb2 

# swapon /dev/sdb2 

8 - Para criar um grupo de volumes chamado abc a partir da partięao LVM, criar um 
volume lógico de 200MB a partir desse grupo chamado data, criar um sistema de 
arquivos VFAT nele, montar temporariamente o volume lógico em um novo diretório 
chamado /mnt/test e, entao, verificar se ele foi montado comsucesso, digite o 
seguinte: 

# pvcreate /dev/sdb3 

# vgcreate abc /dev/sdb3 

# lvcreate -n data -L 20OM abc 

# mkfs -t vfat /dev/mapper/abc-data 

# mkdir /mnt/test 

# mount /dev/mapper/abc-data /mnt/test 

9 - Para ampliar o volume lógico de 200MB para 300MB, digite o seguinte: 

# lvextend -L +10OM /dev/mapper/abc-data 

# resize2fs -p /dev/mapper/abc-data 



10 Para remover com seguranęa o pen drive do computador, faęa o seguinte: 

# umount /dev/sdbl 

# swapoff /dev/sdb2 

# umount /mnt/test 

# lvremove /dev/mapper/abc-data 

# vgremove abc 

# pvremove /dev/sdb3 

Agora voce pode remover com seguranęa o dispositivo USB do computador. 


Capftulo 13: Entendendo administraęao de servidores 


1 - Para efetuar login em qualquer conta em outro computador usando o comando s sh, 
digite o seguinte e, entao, digite a senha quando solicitado: 

$ ssh joe@localhost 

joe@localhost's password: 

********* 

[ joe] $ 

2 - Para exibir o conteudo de umarquivo remoto /etc/system-release e ter seus 
conteudos apresentados no sistema local usando execuęao remota com o comando 
ssh, faęa o seguinte: 

$ ssh joe@localhost "cat /etc/system-release" 

Fedora release 16 (Verne) 

3 - Para usar o encaminhamento XII para exibir urna janela gedit em seu sistema local e, 
entao, salvar umarquivo no diretório inicial remoto, faęa o seguinte: 

$ ssh -X joe@localhost "gedit newfile" 

joe@localhost's password: 

$ ssh joe@localhost "cat newfile" 

joe@localhost's password: 

This is text from the file I saved in joe's remote home 
directory 

4 - Para copiar recursivamente todos os arquivos do diretório /usr/share/selinux 
emum sistema remoto para o diretório /tmp em seu sistema local de tal maneira que 
todos os horarios de modificaęao nos arquivos sejamatualizados com a hora do 
sistema local quando eles forem copiados, faęa o seguinte: 

$ sep -r joe@localhost:/usr/share/selimut /tmp 
j oe@loralr.osr ' s password: 

irc.pp. cz2 100% 5673 9.5KB/s 

dcc.pp.bs2 100% 15KB 15.2KB/a 

$ ls -1 /toLp/selinux | head 

total 20 

drwKr _ Kr - K. 3 roct roct 4096 Apr 12 05:52 devel 
drwKr-Kr-Jt. 2 root roct 40 96 Apr 12 05:52 parkages 
drwKr-Kr-x. 2 root root 12258 Apr 15 05:52 targeted 


00 : 00 
00 : 01 




5. Para copiar recursivamente todos os arquivos do diretório 

/usr/share/logwatch emumsistema remoto para o diretório /tmp emseu 
sistema local de tal maneira que todos os horarios de modificaęao nos arquivos do 
sistema remoto sejammantidos no sistema local, tente isto: 

$ rsync -av joe@localhost:/usr/share/logwatch /tmp 

joe@localhost's password: 

★★★★★★★★ 

receiving incremental file list 
logwatch/ 

logwatch/default.conf/ 

logwatch/default.conf/logwatch.conf 

$ ls -1 /tmp/logwatch | head 

total 16 

drwxr-xr-x. 5 root root 4096 Apr 19 2011 default.conf 

drwxr-xr-x. 4 root root 4096 Feb 28 2011 dist.conf 

drwxr-xr-x. 2 root root 4096 Apr 19 2011 lib 

6 - Para criar umpar de chaves publica/privada a firn de usar comunicaęóes SSH (sem 

senha na chave), copiar o arquivo de chave publica para a conta de um usuario remoto 
com ssh-copy-id, e usar autenticaęao baseada emchave para efetuar login nessa 
conta de usuario sem ter de digitar urna senha, utilize o seguinte código: 

$ ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key 
(/home/joe/.ssh/id_rsa): <ENTER> 

/home/joe/.ssh/id_rsa already exists. 

Enter passphrase (empty for no passphrase): <ENTER> 

Enter same passphrase again: <ENTER> 

Your Identification has been saved in 
/home/j oe/.ssh/id_rsa. 

Your public key has been saved in 
/home/ j oe/.ssh/id_rsa.pub. 

The key fingerprint is: 

58:ab:cl:95:b6:10:7a:aa:7c:c5:ab:bd:f3:4f:89:le 
j oe@cnegus.csb 

The key's randomart image is: 

$ ssh-copy-id -i ~/.ssh/id_rsa.pub joe@localhost 

joe@localhost's password: ******** 

Now try logging into the machinę, with "ssh 
' joe@localhost'", 
and check in: 

.ssh/authorized_keys 

to make surę we haven't added extra keys that you weren't 
expecting. 



$ ssh joe@localhost 
$ cat .ssh/authorized_keys 

ssh-rsa 

AAAAB3NzaClyc2EAAAABIwAAAQEAyN2Psp5/LRUC9E8BDCx53yPUaOqoO: 
v6H4sF3vmn04V6E7DliXpzwPzdo4rpvmRlZiinHR2xGAEr2uZag7 feKgL: 
iR71zrOhQjV+SGb/aldxrIeZqKMqlTk07G4EvboIrq//9J47vl417iNuO: 
DdCTbpG6J3uSJmlBKzdUtwb413x35W2bRgMI75aIdeBsDgQBBiOdu+zuTl 
XeJ7gIwRvBaMQdOSvSdlkX353tmIjmJheWdgCccM/1j KdoELpaevg9anC< 
tTo41+qTfzAQD5 + 6 6oqW0LgMkWVvfZI7 dUz 3WUPmcMw== 
chris@abc.example.com 

7 - Para criar uma entrada em / etc/rsyslog.conf que armazena todas as mensagens 
de autenticaęao no mvel de informaęao e superior em um arquivo chamado 
/var/log/myauth, faęa o seguinte. Apartir de um terminal, observe os dados 
chegando. 

t vim /etc/rsyslog.conf 
authpriv.info 
t service rsyslog restart 
or 

t systenctl restart rsyslog.service 
<Ter:ninai 1> 

t taił -f /var/log/iayauth 

Apr 1S 0€:19:34 ab: unix_chipKd[30631] 
password: 

Apr 1S 0€:19:34 ab: sshd[30631] 
agam 

:paa tmix{9shd:aath) : 

au?hen?ica;ion failure; lcgnasie= uid=501 

euid=501 tty=ssh ruser= rhost=localhost 
user=joe 

Apr 18 06:19:34 abc sshd[30631]: 

Failed password for joe from 
127.0.0.1 port 5564 ssh2 

8 - Para determinar as maiores estruturas de diretórios sob /usr/share, ordena-las da 
maior para a menor e listar os 10 maiores desses diretórios em termos de tamanho 
usando o comando du, digite o seguinte: 

$ du -s /usr/share/* | sort -rn | head 


458320 

/usr/share/locale 

129400 

/usr/share/doc 

124116 

/usr/share/icons 

80524 

/usr/share/gnomę 


/var/log/myauth 


<Terminal 2> 

? ssh joe§localhost 
joe^localhoat's 

Persnission aenied, ęry 


9 - Para mostrar o espaęo usado e o espaęo disponivel de todos os sistemas de arquivos 
atualmente conectados ao sistema local, mas excluir quaisquer sistemas de arquivos 
tmpf s ou devtmpf s usando o comando df, digite o seguinte: 



$ df -h -x tmpfs -x devtmpfs 


Filesystem Size Used Avail Use% Mounted on 

/deev/sda4 20G 4.2G 16G 22% / 

10 Para encontrar todos os arquivos no diretório /usr commais de 10MB de tamanho, 
faęa o seguinte: 

$ find /usr -size +10M 

/usr/lib/jvm/j ava-l.6.0-openj dk-1.6.0.0/jre/lib/rt.jar 
/usr/lib/jvm/j ava-l.7.0-openj dk-1.7.0.3/jre/lib/rt.jar 
/usr/lib/llvm/libLLVM-2.9.so 
/usr/lib/flash-plugin/libflashplayer.so 


Capitulo 14: Administrando redes 


1 - Para usar o desktop a fim de verificar se o NetworkManager iniciou com sucesso sua 
płaca de rede (comou sem fio), faęa o seguinte: 

Cliąue no icone do NetworkManager em seu painel superior. Qualquer conexao de 
rede ativa com ou sem fio deve ser destacada em negrito. 

Se nao houver urna conexao ativa, selecione urna rede na lista de redes com ou sem fio 
disponiyeis e digite o nome de usuario e a senha, se solicitado, para iniciar urna 
conexao ativa. 

2 - Para executar um comando a fim de verificar as placas de rede ativas disponiyeis em 
seu computador, digite: 

$ ifconfig 

ou 

$ ip addr show 

3 - Tente entrar em contato com google . com a partir da linha de comando de urna 
maneira que assegure que o DNS esta funcionando corretamente: 

$ ping google.com 

Ctrl-C 

4 - Para executar um comando a fim de yerificar as rotas sendo usadas para se comunicar 
como mundo externo a sua rede local, digite: 

$ route 

5 - Para traęar a rota sendo tornada para se conectar a google . com, use o comando 

traceroute: 


$ traceroute google.com 




6 - Para desligar e desativar o NetworkManager e iniciar o servięo de rede, faęa o 
seguinte: 

A partir de um sistema RHEL 6, digite: 

# service NetworkManager stop 

# service network restart 

# chkconfig NetworkManager off 

# chkconfig network on 

Para sistemas Fedora mais recentes, digite: 

# systemctl stop NetworkManager.service 

# systemctl disable NetworkManager.service 

# service network restart 

# chkconfig network on 

7 - Para criar urna entrada de host que permita que voce se comunique com o sistema host 
local usando o nome myownhost, faęa o seguinte: 

Edite o arquivo / etc/hosts (vi / etc/hosts) e adicione myownhost ao 

finał da entrada localhost de modo que ela apareęa como a seguir (depois pingue 
myownhost para ver se funcionou): 

127.0.0.1 localhost.localdcmain localhost myownhost 

4 ping myownhost 
Ctrl+C 

8 - Para adicionar o servidor DNS publico do Google (endereęo IP 8.8.8.8) como o 
ultimo de sua lista de servidores DNS, siga estes procedimentos: 

Faęa urna cópia de seu arquivo resolv. conf antes de prosseguir (e, entao, copie-o 
de volta depois de concluir o procedimento): 

# cp /etc/resolv.conf $HOME 

Se voce estiver usando o servięo NetworkManager, a esquerda, clique no icone do 
NetworkManager e selecione Network Settings. Selecione IPv4 Settings. Entao, 
marque a caixa Method e escolha Automatic (DHCP) addresses only e preencha 
8.8.8.8 na caixa DNS servers (juntamente comquaisquer outros servidores DNS de 
que voce precisar). Se isso nao funcionar, tente umdos servidores DNS listados no 
arquivo resolv.conf que voce acaboude copiar para seudiretório inicial. 

Ou, se voce estiver usando o servięo de rede, edite o arquivo /etc/resolv. conf 
diretamente de modo que o arquivo inclua pelo menos a seguinte linha: 

nameserver 8.8.8.8 

Emambos os casos, use o comando dig para verificar se o servidor DNS foi capaz 
de converter um endereęo: 

4 dig google.com 

google.com. 91941 IN NS ns3.google.com. 

;; Query time: O msec 
;; SERVER: 8.8.8.8453(3.9.9.8) 

;; WHEN: Mon Apr 30 13:57:44 2012 
;; MSG 51 ZE rcvd: 276 




9 - Para criar urna rota personalizada que direciona o trafego destinado a rede 
192.168.99.0/255.255.255.0 para algum endereęo IP emsua rede local, como 
192.168.0.5 (primeiro garantindo que a rede 10.0.99 nao esta sendo usada emseu 
local), faęa o seguinte: 

Determine o nome da płaca de rede. Para o RHEL, sua primeira płaca de rede e 
provavelmente ethO . Nesse caso, como root execute os seguintes comandos: 

# cd /etc/sysconfig/network-scripts 

# vi route-ethO 

Adicione as seguintes linhas ao arquivo: 

ADDRESS0=192.168.99.0 
NETMASK0=255.255.255.0 
GATEWAY 0 = 192.168.0.5 

Reinicie a rede e execute route para ver se a rota esta ativa: 

# service network restart 

# route 

Destination Gateway Genmask Flags Metric Ref Use 

default 192.168.0.1 0.0.0.0 UG 0 00 

192.168.0.0 * 255.255.255.0 Ul 00 

192.168.99.0 192.168.0.5 255.255.255.0 UG 0 00 

10 Para verificar se seu sistema foi configurado para permitir que pacotes IPv4 sejam 
roteados entre as placas de rede em seu sistema, digite o seguinte: 

# cat /proc/sys/net/ipv4/ip_forward 

0 

0 significa que o encaminhamento de pacotes IPv4 esta desativado; um 1 quer dizer 
que esta habilitado. 


Capitulo 15: Iniciando e parando seryięos _ 

1 - Para determinar qual daemon init seu servidor esta usando atualmente, considere o 
seguinte: 

■ Ybce terno daemon Upstart init se: 

Seu servidor Linux executa urna das seguintes distribuięóes: RHEL versao 6, 
Fedora vers5es 9 a 14, Ubuntu vers5es 6-10 ou superior, ou openSUSE versoes 
11.3 ou superior. E o comando strings mostra Upstart init emuso, como 
demonstrado no exemplo abaixo: 




$ strings /sbin/init | grep -i upstart 

upstart-devel@lists.ubuntu.com 

UPSTART_CONFDIR 

UPSTART_NO_SESSIONS 

■ \bce terno daemon systemd se: 

Seu servidor Linux roda o Fedora, versao 15 ou superior. E o comando strings 
mostra systemd emuso, como demonstrado no exemplo abaixo: 

# strings /sbin/init | grep -i systemd 

systemd.unit= 
systemd.log_target= 
systemd.log level= 


■ Muito provavelmente, voce tem o daemon SysVinitouBSD initse seu daemon 

init nao e o daemon Upstart init ou systemd. Mas confirme em 
http://wikipe dia.org/wiki/Init. 

■ Para determinar o daemon init que sshd esta usando em seu servidor Linux, esteja 
ciente de que o daemon init que sshd utiliza nao depende somente do daemon 
init que servidor esta usando atualmente. Varios servięos podemainda nao ter sido 
portados para novos daemons init . Portanto, experimente tanto o novo daemon 
init como os comandos SysVinit classicos. 

■ Para o daemon Upstart init, umresultado positivo, mostrado aqui, significa 

que o sshd foi convertido para Upstart: 

# initctl status ssh 

ssh start/running, process 2390 

■ Para systemd, umresultado positivo, mostrado aqui, significa que o sshd foi 

convertido para systemd: 

# systemctl status sshd.service 

sshd.service - OpenSSH server daemon 

Loaded: loaded (/lib/systemd/system/sshd.service; 

enabled) 

Active: active (running) sińce Mon, 30 Apr 2015 
12:35:20... 

■ Se voce nao vir resultados positivos para os testes anteriores, experimente o seguinte 

comando para o daemon SysVinit init . Umresultado positivo aqui, junto 
com resultados negativos para os testes anteriores, significa que sshd ainda esta 
usando o daemon SysVinit. 

# service ssh status 

sshd (pid 2390) is running... 



3 - Para determinar o runlevel anterior e atual de seu servidor, use o comando 
runlevel . Ele ainda funciona emtodos os daemons init: 

$ runlevel 

N 3 

4 - Para alterar o mvel de execuęao padrao ou unidade de destino no servidor Linux, voce 
pode fazer urna das seguintes opęóes (dependendo do daemon init de seu servidor): 

■ Para o daemon SysVinit, edite o arquivo /etc/inittab e altere o # na linha 

id : # : initdef ault : para 2, 3, 4 ou 5. 

■ Para o daemon Upstart init, edite o arquivo /etc/inittab e altere o # na 

linha id : # : initdef ault : para 2, 3, 4 ou 5. 

■ Para systemd, altere o link simbólico def ault. target para o 

runlevel# . target desejado, onde # e 2, 3, 4 , ou 5 . O código a seguir 
mostra como mudar o vinculo simbólico de target unit para 
runlevel3.target. 

# ln -sf /lib/systemd/system/runlevel3.target 

/etc/systemd/system/default.target 

/lib/systemd/system/runlevel3.target 

5 - Para listar os servięos em execuęao (ou ativos) em seu servidor, voce vai precisar 
usar comandos diferentes, dependendo do daemon init que voce esta usando. 

■ Para o daemon SysVinit, use o comando service, como mostrado no exemplo a 

seguir: 

# service --status-all | grep running... | sort 

anacron (pid 2162) is running... 
atd (pid 2172) is running... 

■ Para o daemon Upstart init, use o comando initctl . Mas tambemnao se 

esqueęa de usar o comando service, porque nemtodos os servięos podemter 
sido portados para Upstart: 

# initctl list | grep start/running 

tty (/dev/tty3) start/running, process 1163 

# service --status-all | grep running 

abrtd (pid 1118) is running... 


Para systemd, use o comando systemctl, como aqui: 

# systemctl list-unit-fileś --type=service | grep -v dis< 

UNIT FILE STATE 



abrt-ccpp.service 
abrt-oops.service 


enabled 

enabled 


6 - Para listar os servięos atuais (ou ativos) em seu servidor Linux, use o(s) comando(s) 
apropriado(s) determinado(s) na Resposta 5 para o daemon init que seu servidor 
esta usando. 

7 - Para cada daemon init, os comandos a seguir mostrarao o status atual de um servięo 
especifico: 

Para o daemon SysVinit, o comando service status nome_do_servięo e 

usado. 

Para o daemon Upstart init, o comando initctl status 
nome_do_servięo e usado. 

Para systemd, o comando systemctl status nome_do_servięo e usado. 

8 - Para mostrar o status do daemon cups em seu servidor Linux, use o seguinte: 

■ Para o daemon SysVinit: 

# service cups status 

cupsd (pid 8236) is running... 

■ Para o daemon Upstart init: 

# initctl status cups 

cups start/running, process 2390 

■ Lembre-se de que se um servięo ainda nao foi portado para o Upstart, voce vai 

precisar usar o comando service emvez de initctl. 

■ Para systemd: 

# systemctl status cups.service 

cups.service - CUPS Printing Service 

Loaded: loaded (/lib/systemd/system/cups.service; 

enabled) 

Active: active (running) sińce Tue, 01 May 2015 

04:43:5... 

Main PID: 17003 (cupsd) 

CGroup: name=systemd:/system/cups.service 
17003 /usr/sbin/cupsd -f 

9 - Para tentar reiniciar o daemon cups em seu servidor Linux, use o seguinte: 

Para o daemon SysYinit: 


* service cups restart 

Stopping cups: 

Starting cups: 


t OK ] 
[ OK ] 



■ Para o daemon Upstart init: 

# initctl restart cups 

cups start/running, process 2490 

Lembre-se de que se um servięo ainda nao foi portado para o Upstart, voce vai 
precisar usar o comando service emvez de initctl. 

■ Para systemd: 

# systemctl restart cups.service 

10 Para tentar recarregar o daemon cups em seu servidor Linux, use o seguinte: para o 
daemon SysVinit: 

# service cups reload 

Reloadir.g cups: [ OK ] 

Para o daemon Upstart init: 

# initctl reload cups 

Lembre-se de que se um servięo ainda nao foi portado para o Upstart, voce vai 
precisar usar o comando service emvez de initctl. 

■ Para systemd, essa e urna pergunta capciosa. \bce nao pode recarregar o daemon 

cups emumservidor Linux systemd! 

# systemctl reload cups.service 

Failed to issue method cali: Job type reload is not 

applicable for unit cups.service. 


Capitulo 16: Configurando um servidorde 
im pressa o _ 

Para as quest5es que envolvem trabalho com impressoras, voce pode usar qualquer 
ferramenta grafica ou de linha de comando na maioria dos casos. Aintenęao e garantir que 
voce obtenha os resultados corretos, mostrados nas respostas que se seguem As respostas 
aqui incluem urna mistura de maneiras graficas e de linha de comando para resolver os 
exercicios. (Torne-se o usuario root quando voce vir umprompt #.) 

1 - Para usar a janela de configuraęao da impressora para adicionar urna nova impressora 
chamada myprinter a seu sistema (impressora PostScript generica, conectada a 
urna porta), faęa o seguinte, no Fedora 16: 

a. No desktop GNOMĘ 3, selecione Applications => Other => Printing. 

b. Selecione o botao Add (digite a senha de root, se for solicitado). 

c. Selecione urna porta Serial, LPT, ou outra porta como o dispositivo e clique em 




Forward. 

d. Para o driver, escolha Generic e cliąue em Forward; entao, escolha PostScript 
Printer e cliąue em Forward. 

e. Cliąue em Forward para pular todas as opęóes instalaveis. 

f. Para o nome da impressora, use myprinter, de ąualąuer descrięao e localizaęao 
que ąuiser e cliąue em Apply. 

g. Cliąue emNo, para nao imprimir urna pagina de teste. A impressora deve aparecer 
na janela the Printer Configuration. 

2 - Para usar o comando lpc a firn de ver o status de todas as suas impressoras, digite o 
seguinte: 

# lpc status 

myprinter: 
ąueuing is enabled 
printing is enabled 
no entries 
daemon present 

3 - Para utilizar o comando lpr para imprimir o arquivo /etc/hosts, digite o 
seguinte: 

$ lpr /etc/hosts -P myprinter 

4 - Para verificar a fila de impressao para a impressora, digite o seguinte: 

# lpq -P myprinter 

myprinter is not ready 

Rank Owner Job File(s) Total Size 

Ist root €55 hosts 1024 bytes 

5 - Para remover o trabalho de impressao da fila (cancelar), digite o seguinte. 

# lprm -P myprinter 

6 - Para usar a janela de impressao a firn de definir a configuraęao basica do servidor que 
publica suas impressoras de modo que outros sistemas em sua rede local possam 
imprimir nelas, faęa o seguinte: 

a. A partir do desktop GNOMĘ, selecione System => Administration => Printing. 

b. Selecione Server => Settings. 

c. Cliąue para ativar a caixa de seleęao ao lado de “Publish shared printers connected 
to this session” e cliąue em OK. 

7 - Para permitir a administraęao remota de seu sistema a partir de um navegador web, 
siga estes passos: 

a. A partir do desktop GNOMĘ, selecione System => Administration => Printing. 



b. Selecione Server => Settings. 

c. Cliąue para ativar a caixa de seleęao ao lado de Allow remote administration e 
cliąue em OK. 

8 - Para demonstrar que voce pode fazer a administraęao remota de seu sistema a partir 

de umnavegador emoutro sistema, faęa o seguinte: 

a. Na caixa de localizaęao da janela de umnavegador de outro computador em sua 
rede, digite http: // hostname: 631. 

b. Substitua hostname pelo nome ou o endereęo IP do sistema que esta executando o 
servięo de impressao. A pagina inicial do CUPS deve aparecer a partir desse 
sistema. 

9 - Para usar o comando netstat a firn de ver o endereęo que o daemon cupsd esta 

ouvindo, digite o seguinte: 

# netstat -tupln | grep 631 

tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 6492/cupsd 

10 Para excluir a entrada da impressora myprinter de seu sistema, faęa o seguinte: 

a. Na janela de configuraęao da impressora, clique com o botao direito do mouse no 
icone do myprinter e selecione Delete. 

b. Quando solicitado, selecione Delete noyamente. 


Capftulo 17: Configurando um servidorweb 

Para instalar todos os pacotes associados ao grupo Web Server emum sistema Fedora, 
faęa o seguinte: 

# yum groupinstall "Web Server" 

2 - Para criar umarquivo chamado index . html no diretório designado para 
DocumentRoot no arquivo de configuraęao principal do Apache (com as palayras 
My Own Web Server dentro dele), faęa o seguinte: 

■ Determine a localizaęao de DocumentRoot: 

#grep "'DocumentRoot /etc/httpd/conf/httpd.conf 

DocumentRoot "/var/www/html" 

■ Ecoe as palayras “meu My Own Web Server” no arquivo index . html localizado 

em DocumentRoot: 

# echo "My Own Web Server" > /var/www/html/index.html 

3 - Para iniciar o seryidor web Apache e configura-lo para iniciar automaticamente na 
inicializaęao do sistema e, entao, yerificar se ele esta disponivel a partir de um 
nayegador na maquina local, faęa o seguinte (voce deve ver as palayras “My Own 
Web Seryer” exibidas se ele estiyer funcionando corretamente): 




O servięo httpd e iniciado e ativado de maneira diferente no Fedora e no RHEL. No 
Fedora, digite o seguinte: 

# systemctl start httpd.service 

# systemctl enable httpd.service 

No RHEL 6 ou anterior, digite: 

# service httpd start 

# chkconfig httpd on 

4 - Para usar o comando netstat para ver quais portas o servidor httpd esta 
ouvindo, digite o seguinte: 

# netstat -tupln | grep httpd 

tcp 0 0 :::80 :::* LISTEN 2496/httpd 

tcp 0 0 :::443 :::* LISTEN 2496/httpd 

5 - Tente se conectar ao seu servidor web Apache a partir de um navegador que esta fora 
do sistema local. Se ele falhar, corrija quaisquer problemas que voce encontrar 
investigando o firewall, o SELinux e outros recursos de seguranęa. 

Se voce nao tiver DNS configurado, porem, use o endereęo IP do servidor para ver 
seu seryidor Apache a partir de um nayegador web remoto, como 
http ://192.168.0.1. Se voce nao for capaz de se conectar, tente se conectar 
ao seryidor a partir de seu nayegador após a realizaęao de cada urna das seguintes 
etapas no sistema executando o seryidor Apache: 

# iptables -F 

# setenforce 0 

# chmod 644 /var/www/html/index.html 

O comando iptables -F limpa as regras de firewall. Se a conexao como seryidor 
web for bem-sucedida depois disso, voce precisa adicionar novas regras de firewall 
para abrir as portas tcp 80 e 443 no seryidor. Adicionar urna regra antes da regra 
DROP ou RE JECT, que faz o seguinte, deve fazer o truque. 

-A INPUT -m state --State NEW -m tcp -p tcp --dport 80 -j 
ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 - 
j ACCEPT 

O comando setenforce 0 coloca seu firewall no modo permissiyo. Se a conexao 
com o seryidor web for bem-sucedida depois disso, voce precisa corrigir o contexto 
de arquivo do SELinux e/ou quest5es booleanas (provavelmente contexto de arquivo, 
nesse caso). O seguinte deve funcionar: 

# chcon --reference=/var/www/html 
/var/www/html/±ndex.html 



Se o comando chmod funcionar, isso significa que o usuario apache e o grupo apache 
nao tinham permissao de leitura sobre o arquivo. \bce deve ser capaz de deixar as 
novas permissóes como elas estao. 

6 - Para usar o comando openssl ou semelhante a firn de criar sua própria chave RSA 
privada e seupróprio certificado SSL autoassinado, faęa o seguinte: 

# yum install openssl 

# cd /etc/pki/tls/private 

# openssl genrsa -out server.key 1024 

# chmod 600 server.key 

# cd /etc/pki/tls/certs 

# openssl req -new -x509 -nodes -shal -days 365 \ 

-key /etc/pki/tls/private/server.key \ 

-out server.crt 

Country Name (2 letter codę) [AU]: US 

State or Province Name (fuli name) [Some-State]: NJ 

Locality Name (eg, city) []: Princeton 

Organization Name (eg, company) [Internet Widgits Pty 
Ltd]:TEST USE ONLY 

Organizational Unit Name (eg, section) []:TEST USE ONLY 
Common Name (eg, YOUR name) []: secure.example.org 
Email Address [ ]:dom@example.org 

\bce agora deve ter um arquivo de chave 

/etc/pki/tls/private/server. key e umarquivo de certificado 
/etc/pki/tls/certs/server.crt. 

7 - Para configurar o servidor web Apache para usar sua chave e seu certificado 
autoassinado a firn de servir conteudo seguro (HTTPS), faęa o seguinte: edite o 
arquivo /etc/httpd/conf. d/ssl. conf para alterar as localizaęóes da chave 
e do certificado a firn de usar os que voce acabou de criar: 

SSLCertificateFile /etc/pki/tls/certs/server.crt 
SSLCertificateKeyFile /etc/pki/tls/private/server.key 

8 - Para utilizar um navegador web para criar urna conexao HTTPS com o servidor web e 
ver o conteudo do certificado que voce criou, faęa o seguinte: a partir do sistema 
executando o servidor Apache, digite https : //localhost na caixa do navegador 
local. \bce devera ver urna mensagemque diz: “Essa conexao nao e confiavel”. Para 
completar a conexao, faęa o seguinte: 

■ Clique em I Understand the Risks. 

■ Clique em Add Exception. 

■ Clique em Get Certificate. 



■ Clique em Confirm Security Exception. 

9 - Para criar umarquivo chamado /etc/httpd/conf . d/example . org. conf, 
que ativa a hospedagem virtual baseada emnome e cria urna maquina virtual que 1) 
ouve a porta 80 em todas as interfaces, 2) tem um administrador de servidor chamado 
j oe@example . org, 3) tem um servidor chamado j oe . example . org, 4) seu 
DocumentRoot e / var/www/html/j oe . example . org, 5) tem urna 
DirectoryIndex que inclui pelo menos index . html, e cria umarquivo 
index . html, em DocumentRoot que contem as palavras “Welcome to the 
House of Joe”, faęa o seguinte: 

Crie umarquivo example . org. conf que se parece como seguinte: 

NameVirtualHost *:80 
<VirtualHost *:80> 

ServerAdmin 
ServerName 
ServerAlias 
DocumentRoot 

DirectoryIndex index.html 
</VirtualHost> 

Eis como voce pode criar o texto a fim de ir para o arquivo index . html: 

# echo "Welcome to the House of Joe" > 

/var/www/html/j oe.example.org/index.html 

10 Para adicionar o texto joe . example . org ao finał da entrada localhost do arquivo 
/etc/hostsna maquina que esta executando o servidor web e verifica-lo digitando 
http: / /joe . example . org na caixa de localizaęao de seu navegador a fim de 
ver “Welcome to the House of Joe” quando a pagina e exibida, faęa o seguinte: 

■ Atualize o arquivo httpd. conf modificado no exercicio anterior: 

# apachectl graceful 

■ Edite o arquivo /etc/hosts comqualquer editor de texto de modo que a linha 

local host apareęa assim: 

127.0.0.1 localhost.localdomain localhost joe.example.org 

■ Apartir de umnavegador no sistema local onde httpd esta emexecuęao, voce deve 

ser capaz de digitar http: / / j oe . example . org na caixa de localizaęao para 
acessar o seryidor web Apache usando a autenticaęao baseada emnome. 


j oe @ example.org 
joe. example . org 
web . example.org 

/ var/www/html/j oe.example.org/ 



Capitulo 18: Configurando um servidor FTP 


inęao 

: aęa as tarefas descritas aqui em um servidor FTP publico funcional porque elas vao interferir nas suas operaęoes 
;rvidor. (Voce pode, porem, usaressas tarefas para configurar um novo servidor FTP.) 


1 - Para determinar qual pacote fornece o servięo Very Secure FTP Daemon, digite o 
seguinte como root: 

# yum search "Very Secure FTP" 

============== N/S Matched: Very Secure FTP ============= 

vsftpd.i686 : Very Secure Ftp Daemon 

A pesąuisa encontrou o pacote vsftpd. 

2 - Para instalar o pacote Very Secure FTP Daemon em seu sistema e procurar os 
arquivos de configuraęao nesse pacote, digite o seguinte: 

# yum install vsftpd 

# rpm -qc vsftpd | less 

3 - Para iniciar o servięo Very Secure FTP Daemon e configura-lo para comeęar quando o 
sistema e inicializado, digite o seguinte em um sistema Fedora: 

# systemctl start vsftpd.service 

# systemctl enable vsftpd.service 

Em um sistema Red Hat Enterprise Linux, digite o seguinte: 

# service vsftpd start 

# chkconfig vsftpd on 

4 - No sistema que executa o servidor FTP, digite o seguinte para criar um arquivo 
chamado test no diretório de FTP anonimo que contemas palavras “Welcome to 
your vsftpd server”: 

# echo "Welcome to your vsftpd server" > /var/ftp/test 

5 - Para abrir o arquivo test a partir do diretório inicial do FTP anonimo, usando um 
navegador no sistema executando o servidor FTP, faęa o seguinte: inicie o navegador 
Firefox, digite o seguinte na caixa de localizaęao e pressione Enter: 

ftp://localhost/test\ 

O texto “Welcome to your Very Secure FTP Daemon server” deve aparecer na janela 
do Firefox. 

6 - Para acessar o arquivo test no diretório inicial do FTP anonimo, faęa o seguinte. 

(Se voce nao puder acessar o arquivo, verifique se o firewall [iptables], o 










SELinux e os TCP wrappers estao configurados para permitir acesso a esse arquivo, 
conforme descrito aqui.) 

a. Digite o seguinte na caixa de localizaęao de um navegador em um sistema em sua 
rede que pode alcanęar o servidor FTP (substitua host pelo nome totalmente 
qualificado ou o endereęo IP do seu sistema): 

ftp://host/test 

Se voce nao puder ver a mensagem de boas vindas na janela de seu navegador, 
verifique o que pode estar impedindo o acesso. Para desativar temporariamente seu 
firewall (limpar suas regras iptables), digite o seguinte comando como usuario 
root de um shell em seu sistema de servidor FTP e tente acessar o site novamente: 

# iptables -F 

b. Para desativar temporariamente o SELinux, digite o seguinte e tente acessar o site 
novamente: 

# setenforce 0 

c. Para desativar temporariamente os TCP wrappers, adicione o seguinte ao inicio do 
arquivo /etc/hosts.allow (certifique-se de remover essa linha novamente 
quando o teste terminar): 

ALL: ALL 

Depois de ter determinado o que esta fazendo comque o arquivo emseu servidor FTP 
esteja indisponivel, volte a seęao “Protegendo seu servidor FTP” e siga os passos 
para determinar o que pode estar bloqueando o acesso ao seu arquivo. Provaveis 
causas sao: 

■ Para iptables, certifique-se de que ha urna regra abrindo a porta TCP 21 no 

servidor. 

■ Para SEFinux, certifique-se de que o contexto de arquivo esta configurado como 

public_content_t. 

■ Para TCP wrappers, certifique-se de que ha urna linha vs f tpd: ALL ou similar no 

arquivo /etc/hosts.allow. Urna entrada como essa só e necessaria se 
houver urna linha no arquivo /etc/hosts . deny que nega o acesso a servięos 
que nao sao explicitamente permitidos. 

Para configurar o servidor Very Secure FTP Daemon para permitir o upload de 
arquivos por usuarios anonimos em um diretório in, faęa o seguinte, como root, em 
seu servidor FTP: 

a. Crie o diretório in da seguinte maneira: 

# mkdir /var/ftp/in 

# chown ftp:ftp /var/ftp/in 

# chmod 770 /var/ftp/in 



b. Dentro do arquivo /etc/vsftpd/vsftpd. conf, certifique-se de que as 
seguintes variaveis estao configuradas: 

anonymous_enable=YES 

write_enable=YES 

anon_upload_enable=YES 

c. Configure o firewall iptables para permitir novas solicitaęóes na porta TCP 21, 
adicionando a seguinte regra em algummomento antes da regra DROP ou RE JECT 
finał emseuarquivo /etc/sysconf ig/iptables: 

-A INPUT -m state --State NEW -m tcp -p tcp --dport 21 -j 
ACCEPT 

d. Configure o firewall iptables para fazer o rastreamento de conexao carregando 
o módulo apropriado no arquivo /etc/sysconf ig/iptables-config: 

IPTABLES_MODULES="nf_conntrack_ftp" 

e. Para o SELinux permitir o upload no diretório, primeiro configure os contextos de 
arquivo corretamente: 

# semanage fcontext -a -t public_content_rw_t 
"/var/ftp/in (/.*)?" 

# restorecon -F -R -v /var/ftp/in 

f. Entao, configure o booleano SELinux para permitir o upload: 

# setsebool -P allow_ftpd_anon_write on 

g. Reinicie o servięo vsf tpd (service vsftpd restart ou systemctl 
restart vsftpd. service). 

Para instalar o cliente FTP lf tp (se voce nao temum segundo sistema Linux, instale 
lf tp no mesmo host que esta executando o servidor FTP) e tentar fazer o upload do 
arquivo /etc/hosts no diretório incoming do servidor, execute os seguintes 
comandos, como usuario root: 

# yum install lftp 

# lftp localhost 

lftp localhost :/> cd in 
lftp localhost : /in> put /etc/hosts 
89 bytes transferred 
lftp localhost:/in> 

quit 

\foce nao sera capaz de ver que copiou o arquivo hosts para o diretório de entrada. 
Mas digite o seguinte em um shell no host que esta executando o servidor FTP para 
certificar-se de que o arquivo hosts esta la: 

# ls /var/ftp/in 

Hosts 



Se voce nao conseguir fazer o upload do arquivo, inicie os procedimentos de soluęao 
de problemas conforme descrito no Exercicio 7, verifique as configuraęóes de 
vsf tpd. conf e revise a posse e as permissoes sobre o diretório /var/f tp/in. 

9 - Usando qualquer cliente de FTP que voce escolher, visite o diretório 

/pub/linux/docs/man-pages no site ftp : //kernel. org e listę o 
conteudo dele. Veja como fazer isso como cliente lftp: 

# lftp ftp://kernel.org/pub/linux/docs/man-pages 

cd ok, cwd=/pub/linux/docs/man-pages 
lftp kernel.org:/pub/linux/docs/man-pages> ls 
drwxrwsr-x 2 536 536 24576 May 10 20:29 Archive 
-rw-rw-r— 1 536 536 1135808 Feb 09 23:23 man-pages- 

3.34. tar.bz2 

-rw-rw-r-- 1 536 536 1674738 Feb 09 23:23 man-pages- 

3.34. tar.gz 

-rw-rw-r-- 1 536 536 543 Feb 09 23:23 man-pages- 

3.34. tar.sign 


10 -Usando qualquer cliente de FTP que voce quiser, baixe o arquivo man-pages- 
3.41. tar . gz a partir do diretório kernel. org que voce acabou de visitar para 
o diretório / tmp em seu sistema local. 

# lftp ftp://kernel.org/pub/linux/docs/man-pages 

cd ok, cwd=/pub/linux/docs/man-pages 

lftp kernel.org:man-pages> get man-pages-3.41.tar.gz 

1739208 bytes transferred in 4 seconds (481.0K/s) 
lftp kernel.org:man-pages> quit 


Capitulo 19: Configurando um servidorde 
compartilhamento de arquivos do Windows (Samba) 


1 - Para instalar os pacotes samba, samba-client e samba-doc, digite o seguinte, 
como root, a partir de um shell no sistema local: 

# yum install samba samba-client samba-doc 

2 - Para iniciar e habilitar os servięos smb e nmb, digite o seguinte, como root, a partir 
de um shell no sistema local: 

# systemctl enable smb.service 

# systemctl start smb.service 

# systemctl enable nmb.service 

# systemctl start nmb.service 

ou 




# chkconfig smb on 

# service smb start 

# chkconfig nmb on 

# service nmb start 

3 - Para configurar o grupo de trabalho do servidor Samba como TESTGROUP, o 
netbios name como MYTE ST e a string de servidor como Samba Test 
System, como usuario root emum editor de texto, abra o arquivo 

/etc/samba/smb . conf e altere tres linhas de modo que elas fiquemassim: 

workgroup = TESTGROUP 
netbios name = MYTEST 
server string = Samba Test System 

4 - Para adicionar umusuario Linux chamado phil ao seu sistema e adicionar urna senha 
Linux e urna senha Samba para phil, digite o seguinte, como usuario root de um shell 
(certifique-se de lembrar as senhas que voce configurou): 

# useradd phil 

# passwd phil 

New password: ******* 

Retype new password: ******* 

# smbpasswd -a phil 

New SMB password: ******* 

Retype new SMB password: ******* 

Added user phil. 

5 - Para configurar a seęao [homes ] de modo que os diretórios sejamnavegaveis 
(browseable=yes) e gravaveis (writable=yes) e que phil seja o linico 
usuario valido, abra o arquivo /etc/samba/smb .conf, como root, e mude a 
seęao [ home s ], assim: 

[homes] 

comment = Home Directories 
browseable = yes 
writable = yes 
valid users = phil 

6 - Para configurar booleanos do SELinux de modo que phil possa acessar seu diretório 
inicial comumcliente Samba, digite o seguinte, como root, a partir de um shell: 

# setsebool -P samba_enable_home_dirs on 

7 - Apartir do sistema local, use o comando smbclient para listar que o 
compartilhamento homes esta disponivel. 

# smbclient -L localhost 

Enter root's password: <ENTER> 

Anonymous login successful 

Domain=[DATAGROUP] OS=[Unix] Server=Samba 3.6.5-85.fcl6 



Sharename 

Type 

Comment 

homes 

Disk 

Home Directories 


8 - Para conectar-se ao compartilhamento homes a partir de urna janela do Nautilus 
(gerenciador de arquivos) no sistema local do servidor Samba para o usuario phil 
de urna maneira que permita que voce arraste e solte arquivos para essa pasta, faęa o 
seguinte: 

a. Abra a janela do Nautilus (selecione o leone de arquivos). 

b. Sob o tltulo NetWork no painel esquerdo, selecione Browse NetWork. 

c. Abra o servidor Samba (leone MYTEST). 

d. Abra a compartilhamento homes. 

e. Quando solicitado, digite phil como nome de usuario e digite a senha de phil. 

f. Abra outra janela do Nautilus arraste e solte umarquivo para o diretório inicial de 
phil. 

9 - Para abrir o firewall de modo que qualquer pessoa que tenha acesso ao servidor possa 
acessar o servięo Samba (daemons smbd e nmbd), altere o arquivo 
/etc/sysconf ig/iptables de modo que o firewall fique parecido como 
seguinte (sendo as regras que voce adiciona destacadas emnegrito): 

*f ilter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

-A INPUT -m State —State ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p iemp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 

-I INPUT -m state --State NEW -m udp -p udp --dport 137 - 
j ACCEPT 

-I INPUT -m state --state NEW -m udp -p udp --dport 138 - 
j ACCEPT 

-I INPUT -m state --state NEW -m tep -p tep --dport 139 - 
j ACCEPT 

-I INPUT -m state --state NEW -m tep -p tep --dport 445 - 
j ACCEPT 

-A INPUT -j REJECT —reject-with iemp-host-prohibited 
-A FORWARD -j REJECT --reject-with iemp-host-prohibited 
COMMIT 

Entao, digite o seguinte para as regras de firewall serem recarregadas: 






# service iptables restart 

10 Para abrir o compartilhamento homes novamente como o usuario phil de outro 
sistema em sua rede (Windows ou Linux) e certificar-se de que voce pode arrastar e 
soltar arquivos para ele, faęa o seguinte: 

Essa etapa esta apenas repetindo o exemplo Nautilus descrito anteriormente ou 
acessando urna janela do Windows Explorer e abrindo o compartilhamento 
(selecionando NetWork e, entao, o servidor Samba). O truque e ter certeza de que o 
servięo foi disponibilizado atraves dos recursos de seguranęa do servidor Linux. 

Se voce nao puder acessar o compartilhamento Samba, tente desativar o firewall e, 
entao, desabilitar o SELinux. Se o compartilhamento estiver acessivel quando voce 
desligar um desses servięos, volte e depure os problemas com o servięo que nao esta 
funcionando: 

# setenforce 0 

# service iptables stop 

Quando voce tiver corrigido o problema, configure o SELinux de volta ao modo 
Enforcinge reinicie iptables: 

# setenforce 1 

# service iptables start 


Capftulo 20: Configurando um servidor de arquivos NFS 

1 - Para instalar os pacotes necessarios a firn de configurar o servięo NFS no sistema 
Linux que voce escolheu, digite o seguinte, como usuario root, em um shell (Fedora ou 
RHEL): 

# yum install nfs-utils 

2 - Para listar os arquivos de documentaęao que vemno pacote que fornece o software do 
servidor NFS, digite o seguinte: 

# rpm -qd nfs-utils 

/usr/share/doc/nfs-utils-1.2.5/ChangeLog 

/usr/share/man/man5/exports.5.gz 
/usr/share/man/man5/nfs.5.gz 
/usr/share/man/man5/nfsmount.conf.5.gz 
/usr/share/man/man7/nfsd.7.gz 
/usr/share/man/man8/blkmapd.8.gz 
/usr/share/man/man8/exportfs.8.gz 


3 - Para determinar o nome do servięo NFS, inicia-lo e ativa-lo, digite o seguinte, como 
usuario root, no servidor NFS: 




# systemctl start nfs-server.service 

# systemctl enable nfs-server.service 

4 - Para verificar o status do servięo NFS que voce acabou de iniciar no servidor NFS, 
digite o seguinte, como usuario root: 

# systemctl status nfs-server.service 

5 - Para compartilhar umdiretório /var/mystuf f de seu servidor NFS como 
dispomvel para todos, somente leitura e com o usuario root cliente tendo acesso de 
root ao compartilhamento, primeiro crie o diretório de montagem assim: 

# mkdir /var/mystuff 

Entao, crie urna entrada no arquivo /etc/exports semelhante a esta: 

/var/mystuff *(ro,no_root_squash,insecure) 

Para tornar o compartilhamento disponivel, digite o 
seguinte: 

# exportfs -v -a 

exporting *:/var/mystuff 

6 - Para garantir que o compartilhamento que voce criou seja acessivel a todos os hosts, 
primeiro verifique se rpcbind nao esta bloqueada pelos TCP wrappers, 
adicionando a seguinte entrada ao inicio do arquivo /etc/hosts. allow: 

rpcbind: ALL 

Para abrir as portas necessarias que permitem aos clientes alcancęarem o NFS por 
meio do firewall iptables, voce precisa abrir pelo menos TCP e UDP 111 
(rpcbind), 20.048 (mountd) e 2049 (nf s), acrescentando as seguintes regras ao 
arquivo / etc/sysconfig/iptables e iniciar o servięo iptables: 

-A INPUT -m State --State NEW -m tcp -p tcp --dport 111 - 
j ACCEPT 

-A INPUT -m State --State NEW -m udp -p udp --dport 111 - 
j ACCEPT 

-A INPUT -m State --State NEW -m tcp -p tcp --dport 2049 
-j ACCEPT 

-A INPUT -m State --State NEW -m udp -p udp --dport 2049 
-j ACCEPT 

-A INPUT -m State --State NEW -m tcp -p tcp --dport 20048 
-j ACCEPT 

-A INPUT -m State --State NEW -m udp -p udp --dport 20048 
-j ACCEPT 

O SELinux deve ser capaz de compartilhar sistemas de arquivos NFS enquanto no 
modo Enforcing semnenhuma alteraęao emcontextos de arquivo ou opęóes booleanas. 
Para garantir que o compartilhamento que voce criou possa ser compartilhado para 
leitura, execute o seguinte comando como usuario root no servidor NFS: 



# setsebool -P nfs_export_all_ro on 

7 - Para ver as aęóes dispomveis a partir do servidor NFS, assumindo que o servidor 
NFS e nomeado nf sserver, digite o seguinte, a partir do cliente NFS: 

# showmount -e nfsserver 

Export list for nfsserver: 

/var/mystuff * 

8 - Para criar umdiretório chamado /var/remote e temporariamente montar o 
diretório /var/mystuf f a partir do servidor NFS (nomeado nf sserver neste 
exemplo) nesse ponto de montagem, digite o seguinte, como usuario root do cliente 
NFS: 

# mkdir /var/remote 

# mount -t nfs nfsserver:/var/mystuff /var/remote 

9 - Para adicionar urna entrada de modo que a mesma montagem seja feita 
automaticamente quando voce reiniciar, primeiro desmonte /var/remote como 
segue: 

# umount /var/remote 

Entao, adicione urna entrada como a seguinte ao arquivo /etc/f stab no sistema 
cliente: 

/var/remote nfsserver:/var/mystuff nfs bg,ro 0 0 

Para testar se o compartilhamento esta configurado corretamente, digite o seguinte no 
cliente NFS, como usuario root: 

# mount -a 

# mount | grep /var/remote 

nfsserver:/var/mystuff on /var/remote type nfs4 
ro,relatime,vers=4,rsize=524288... 

10 - Para copiar alguns arquivos para o diretório /var/mystuf f, digite o seguinte no 
servidor NFS: 

# cp /etc/hosts /etc/services /var/mystuff 

A partir do cliente NFS, para se certificar de que voce pode ver os arquivos recem- 
adicionados a esse diretório e para se certificar de que voce nao pode gravar arquivos 
nele a partir do cliente, digite o seguinte: 

# ls /var/remote 

hosts services 

# touch /var/remote/filel 

touch: cannot touch '/var/remote/filel ' : Read-only file 
system 



Capftulo 21: Soluęao de problemas do Linux 


1 - Para entrar no modo Setup a partir da tela da BIOS em seu computador, faęa o 
seguinte: 

■ Reinicialize seu computador. 

■ Dentro de alguns segundos, voce deve ver a tela da BIOS, com urna indicaęao da 

tecla de funęao a pressionar para entrar no modo Setup. (Na minha Workstation 
Dell, e a tecla de funęao F2.) 

■ A tela azul da BIOS deve aparecer. (Se o sistema comeęar a inicializar o Linux, voce 

nao pressionou a tecla de funęao rapido o suficiente.) 

2 - Na tela de configuraęao da BIOS, faęa o seguinte para determinar se seu computador e 
de 32 ou 64 bits, se inclui suporte a virtualizaęao e se sua płaca de rede e capaz de 
inicializar PXE (Preboot eXecution Environment). 

Sua experiencia pode ser um pouco diferente da minha, dependendo de seu 
computador e do sistema Linux. A tela de configuraęao da BIOS e diferente para 
diferentes computadores. Em geral, porem, voce pode usar as teclas de seta e a tecla 
Tab para se deslocar entre diferentes colunas e pressionar Enter para selecionar urna 
entrada. 

■ Na minha estaęao de trabalho Dell, sob o titulo System, destaco Processor Info para 

ver que o meu e um computador com tecnologia de 64 bits. Examine a seęao 
Processor Info, ou semelhante, em seu computador, para ver o tipo de processador 
que voce tern 

■ Na minha estaęao de trabalho Dell, sob o titulo Onboard Devices, destaco Integrated 

NIC e pressiono Enter. A tela Integrated NIC que aparece a direita permite-me 
escolher para habilitar ou desabilitar a płaca de rede (On ou Off) ou habilitar com 
PXE ou RPL (se quiser iniciar o computador pela rede). 

3 - Para interromper o processo de inicializaęao e impedi-lo de chegar ao carregador de 
inicializaęao GRUB, faęa o seguinte: 

■ Reinicialize o computador. 

■ Logo após a tela da BIOS desaparecer, quando voce vir a contagem regressiva para a 

inicializaęao do sistema Linux, pressione qualquer tecla (talvez a barra de espaęo). 

■ O GRUB carregador de inicializaęao deve aparecer pronto para permitir que voce 

selecione qual kernel do sistema operacional inicializar. 

4 - Para inicializar o computador no nlvel de execuęao 1 a firn de fazer manutenęao do 
sistema, alcance a tela de inicializaęao do GRUB (como descrito no exercicio 
anterior) e, entao, faęa o seguinte: 

■ Use as teclas de seta para destacar o sistema operacional e o kernel que voce quer 

inicializar. 




■ Digite e para ver as entradas necessarias para inicializar o sistema operacional. 

■ Mova o cursor para a linha que inclui o kernel. (Ela deve incluir a palavra 

vmlinuz em algum lugar da linha.) 

■ Mova o cursor para o fim da linha, adicione um espaęo e digite o numero 1. 

■ Siga as instruęóes para iniciar a nova entrada. \bce provavelmente pressiona 

Ctrl+X ou Enter; entao, quando vir a próxima tela, digite b. 

Se funcionar, o sistema deve ignorar o prompt de login e inicializar diretamente para 
um shell de usuario root, onde voce pode fazer tarefas administrativas sem fornecer 
urna senha. 

5 - Para iniciar o Red Hat Enterprise Linux (ate o RHEL 6.x) de modo que possa 
confirmar cada servięo depois que ele e iniciado, faęa o seguinte: 

■ Siga os dois ultimos exercicios, mas em vez de colocar um 1 no finał de urna linha 

kernel, coloque a palavra eon firm. 

■ Quando o processo de inicializaęao alcanęar o ponto em que ele inicia os servięos 

de runlevel, voce sera solicitado a confirmar (Y) ou negar (N) cada servięo, ou 
continuar (C) e simplesmente iniciar todos os demais servięos. 

Notę que essa opęao nao esta disponivel com as releases mais recentes do Fedora e 
do Ubuntu. 

6 - Para ver as mensagens que foram produzidas no buffer do kernel (que mostra a 
atividade do kernel durante a inicializaęao), digite o seguinte, a partir do shell, depois 
que o sistema terminar de inicializar: 

# dmesg | less 

7 - Para executar yum update a partir do Fedora ou do RHEL e excluir qualquer 
pacote do kernel que esteja disponlvel, digite o seguinte (quando solicitado, digite N 
para nao realmente fazer a atualizaęao, se houver atualizaęóes disponiveis): 

# yum update --exclude='kernel*' 

8 - Para verificar os processos que estao aguardando conex5es de entrada em seu sistema, 
digite o seguinte: 

# netstat -tupln | less 

9 - Para verificar quais portas estao abertas em sua płaca de rede externa, faęa o seguinte: 

Se possivel, execute o comando nmap a partir de outro sistema Linux em sua rede, 
substituindo yourhost pelo nome ou endereęo IP de seu sistema: 

# nmap yourhost 

10 - Para limpar o cache de pagina do sistema e ver o efeito que isso tern sobre o uso da 
memória, faęa o seguinte: 

■ Selecione Terminal a partir do menu de um aplicativo em seu desktop (ele esta 



localizado emmenus diferentes para sistemas diferentes). 

■ Execute o comando top (para ver os processos que estao rodando em seu sistema) e 

digite umM maiusculo para ordenar os processos por aąueles que consomemmais 
memória. 

■ Na janela Terminal, selecione File e Open Terminal para abrir urna segunda janela 

Terminal. 

■ Na janela do segundo terminal, torne-se usuario root (su -). 

■ Enquanto observa a linha Mem (coluna used) na primeira janela Terminal, digite o 

seguinte na segunda janela Terminal: 

# echo 3 > /proc/sys/vm/drop_caches 

■ A memória RES usada deve cair significativamente na linha Mem. Os numeros na 

coluna RES para cada processo deyemcair tambem. 


Capitulo 22: Entendendo a seguranęa basica do Linux 

1 - Para criar urna lista a partir de um arquivo de log dos servięos que foram iniciados em 
seu sistema durante a inicializaęao, faęa o seguinte: 

a. Na linha de comando, digite cat /var/log/boot. log. 

b. Examine o arquivo de log para encontrar os daemons iniciados. 

2 - Para listar as permissóes sobre o arquivo de senhas de seu sistema e determinar se 
elas sao apropriadas, voce pode digitar ls -1 /etc/shadow na linha de 
comando. (Se nao existir nenhum arquivo de sombra, voce precisa executar pwconv.) 
Eis as configuraęóes apropriadas: 

# ls -1 /etc/shadow 

-r-. 1 root root 1049 Feb 2 09:45 /etc/shadow 

3 - Para determinar a data de validade da senha da sua conta e se esta vai expirar usando 
umunico comando, digite chage -1 nome_do_usuario ou cat 
/etc/shadow | grep nome_do_usuar±o. 

4 - Para iniciar a auditoria de gravaę5es no arquivo /etc/shadow como daemon 
auditd, digite o seguinte na linha de comando: 

# auditctl -w /etc/shadow -p w 

Para verificar as configuraęóes de auditoria, digite auditctl -1 na linha de 
comando. 

5 - Para criar umrelatório a partir do daemon auditd no arquivo /etc/shadow, 
digite ausearch -f /etc/shadow na linha de comando. Para desativar a 
auditoria sobre esse arquivo, digite auditctl -W /etc/shadow -p w na 





linha de comando. 


6 - Para comparar um pacote de software instalado em seu sistema com os metadados do 
pacote do Fedora ou do RHEL, digite rpm -V nome_do_pacote na linha de comando. 
Para o Ubuntu, digite debsums nome_do_pacote na linha de comando. 

7 - Se suspeitar que sofreu um ataque malicioso em seu sistema hoje e que arquivos 
binarios importantes foram modificados, voce pode encontrar esses arquivos 
modificados digitando o seguinte na linha de comando: f ind diretório - 
mtime -1 para os diretórios /bin, /sbin, /usr/bin, e /usr/sbin. 

8 - Para instalar e executar chkrootkit a firn de ver se o ataque malicioso do 
exerdcio acima instalou um rootkit, escolha sua distribuięao e faęa o seguinte: 

a. Para instalar emuma distribuięao Fedora ou RHEL, digite yum install 
chkrootkit na linha de comando. 

b. Para instalar emuma distribuięao Ubuntu oubaseada no Debian, digite sudo 
apt-get install chkrootkit na linha de comando. 

c. Para executar a verificaęao, digite chkrootkit na linha de comando e analise os 
resultados. 

9 - Para encontrar arquivos como conjunto de permissóes SetUID, digite find / - 
perm - 4 000 na linha de comando. 

10 Para encontrar arquivos com a permissao SetGID configurada, digite find / - 
perm -2000 na linha de comando. 


Capitulo 23: Entendendo a seguranęa ayanęada do Linux 

1 - Para criptografar umarquivo usando o utilitario gpg e urna chave simetrica, digite 
gpg -c nome_do_arquivo na linha de comando. O utilitario gpg vai pedir uma 
senha para proteger a chave simetrica. 

2 - Para gerar um chaveiro usando o utilitario gpg, digite gpg - -gen-key na linha de 
comando. \bce tera de fornecer as seguintes informaęóes: 

a. Que tipo de chave assimetrica voce quer: 

■ RS A e RS A (padrao) 

■ DSA e EIGamal 

■ DSA (apenas assinatura) 

■ RSA (apenas assinatura) 

b. O tamanho da chave (emnumero de bits) que voce quer. 

c. Por quantos dias, semanas, meses, anos, a chave deve ser valida. \bce tambem pode 




solicitar que a chave seja valida permanentemente. 

d. Seu verdadeiro nome, e-mail, endereęo e um comentario para criar o User ID para a 
chave publica. 

e. A senha para a chave privada. 

3 - Para listar o chaveiro que voce gerou, digite gpg --list-keys na linha de 
comando. 

4 - Para criptografar um arquivo e adicionar sua assinatura digital usando o utilitario 
gpg, faęa o seguinte: 

a. \bce deve ter gerado pela primeira vez um chaveiro (Exercicio 2). 

b. Depois de gerar o chaveiro, digite gpg --output 
Encrypted&SignedFile --sign FiletoEncrypt&Sign na linha de 
comando. 

5 - Para usar o utilitario apropriado de resumo de mensagem a firn de assegurar que o 
arquivo baixado nao esta corrompido, voce precisa fazer o seguinte. (Lembre-se de 
que um resumo de mensagem ou message digest tambem e chamado de soma de 
verificaęao ou checksum.) 

a. Consulte o site de download para obter o arquivo ou numero MD5 ou SHA-1. 

■ Se for um numero de soma de verificaęao, voce precisa ir para a próxima etapa. 

■ Se for um arquivo de soma de verificaęao, voce tambem vai precisar baixar o 
arquivo e, entao, usar o comando cat para exibir seu conteudo na tela. 

b. Se for um MD5, entao digite md5sum Pr±me±roArqu±voBaixado na linha 
de comando e compare os numeros com o arquivo ou o numero soma de verificaęao 
MD5 no site. 

c. Se for umhash SHA-1, entao digite shalsum PrimeiroArquivoBaixado 
na linha de comando e compare os numeros com o arquivo ou numero de soma de 
verificaęao SHA-1 no site. 

6 - Para determinar se o comando su em seu sistema Linux e ciente do PAM, digite ldd 
suDirectory/ su | grep pam na linha de comando. diretóńo_su e a 
localizaęao do comando su que voce encontrou com o comando where su . Se o 
comando su em seu sistema Linux for ciente do PAM, voce vai ver umnome de 
biblioteca PAM listado ao emitir o comando ldd. 

7 - Para determinar se o comando su temumarquivo de configuraęao do PAM, digite ls 
/etc/pam. d/su na linha de comando. Se existir umarquivo de configuraęao do 
PAM, a lista de arquivos sera exibida. Se ele nao existir, entao digite cat 
/etc/pam. d/su na linha de comando para exibir seu conteudo. Os contextos PAM 
usados serao umdos seguintes: auth, account, password, session. 

8 - Para listar os varios módulos PAM em seu sistema Fedora ou RHEL, digite ls 



/lib/security/pam* . so na linha de comando. Para listar os varios módulos do 
PAM em seu sistema Linux Ubuntu, digite sudo f ind / -name pam* . so na 
linha de comando. 

9 - Para encontrar o “outro” arquivo de configuraęao do PAM em seu sistema (o “other”), 
digite ls /etc/pam. d/other na linha de comando. Um arquivo de configuraęao 
“other” que impóe Implicit Deny deve ser semelhante ao seguinte código: 

$ cat /etc/pam.d/other 

# %PAM-1.0 


auth 

account 

password 

session 


reąuired 

reąuired 

reąuired 

reąuired 


pam_deny. so 
pam_deny.so 
pam_deny.so 
pam_deny.so 


10 Para encontrar o arquivo de configuraęao de limites do PAM, digite ls 

/etc/security/limits . conf na linha de comando. Exiba o conteudo do 
arquivo digitando cat /etc/security/limits . conf. Configuraęóes nesse 
arquivo para evitar urna bomba fork serao parecidas com as seguintes: 

@staff hard nproc 

@staff hard maxlogins 


Capitulo 24: Aprimorando a seguranęa do Linux com o 
SELinux 


1 - Para configurar seu sistema para o modo de operaęao permissivo no SELinux, digite 
setenforce permissive na linha de comando. Tambem seria aceitavel digitar 
setenforce 0 na linha de comando. 

2 - Para configurar seu sistema para o modo de funcionamento impositivo no SELinux sem 
alterar o arquivo de configuraęao do SELinux primario, tenha cuidado. E melhor nao 
executar esse comando em seu sistema para um exercicio ate que voce esteja pronto 
para usar o modo impositivo do SELinux. Use o seguinte comando: setenf orce 
enf orcing na linha de comando. Tambem seria aceitavel digitar setenf orce 1 
na linha de comando. 

3 - Para localizar e visualizar o tipo de politica do SELinux atual, va para o arquivo de 
configuraęao principal do SELinux, /etc/selinux/conf ig . Para visualiza-lo, 

digite cat /etc/selinux/conf ig na linha de comando. 

4 - Para listar contexto de seguranęa de um arquivo e identificar os diferentes atributos de 




contexto de seguranęa, digite ls -Z nome_do_arqu±vo na linha de comando. 

■ O contexto de usuario do arquivo terminara com um u. 

■ O papel do arquivo terminara com urna r. 

■ O tipo do arquivo terminara com um t. 

■ Nivel de sensibilidade do arquivo comeęa com um s e termina com um numero. Pode 

ser listado em um intervalo de numeros, como s 0 - s 3. 

■ Nivel de categoria do arquivo comeęa com um c e termina com um numero. Pode ser 

listado em um intervalo de numeros, como c0-cl02. 

5 - O comando que mudaria o atributo type de umarquivo e chcon -t novoTipo 
_t nomeDoArqv±vo. (Atenęao: Só emita o comando no seu sistema se voce 
quiser alterar o tipo do arquivo.) 

6 - Para listar contexto de seguranęa do processo atual e identificar os diferentes atributos 
de contexto de seguranęa, digite ps -Z pid na linha de comando. 

■ O contexto de usuario do processo terminara com um u. 

■ O papel do processo terminara com urna r. 

■ O tipo ou o dominio do processo terminara com um t. 

■ O nivel de sensibilidade do processo comeęa com um s e termina com um numero. 

Pode ser listado emumintervalo de numeros, como sO . s3. 

■ Nivel de categoria do processo comeęa com um c e termina com um numero. Pode 

ser listado em um intervalo de numeros, como cO . cl 02. 

7 - O comando que restauraria o contexto de um arquivo SELinux padrao e 
restorecon -R nomeDoArqu±vo. (Atenęao: Só execute esse comando no seu 
sistema se voce conhecer seus efeitos.) 

8 - Para obter urna lista das opęóes booleanas atuais utilizadas em seu sistema, digite 
getsebool -a na linha de comando. \bce pode usar qualquer um dos seguintes 
comandos para modificar umdos valores booleanos: setsebool 
nome_booleano off, setsebool nome_booleano on ou togglebool 
nome_booleano. 

9 - O comando que listaria todos os módulos de politica do SELinux em seu sistema, 
juntamente com seus numeros de versao, e semodule -1. 

Nota: Se voce escreveu ls * . pp em sua resposta, tudo bem, mas esse comando nao 
lhe da os numeros de versao dos módulos de politica. Apenas semodule -1 
fornecera os numeros de versao. 

10 - Para criar urna mensagem de negaęao AVC e, entao, analisar o(s) log(s) da mensagem, 
faęa o seguinte: 



a. Como umusuario nao administrador, digite chcon -u fake_u 
nomeDoArquivo na linha de comando. 

b. Se voce tiver apenas o daemon auditd rodando em seu sistema, digite o seguinte 
na linha de comando: 

aureport | grep AVC 

ausearch -m avc 

c. Se voce tiver apenas o daemon rsyslogd em execuęao no sistema, digite na linha de 
comando: 

grep "SELinux is preventing" /var/log/messages 

d. Se voce tiver o daemon rsyslogd e o daemon setroubleshootd em 
execuęao no sistema, digite a linha de comando: 

grep "SELinux is preventing" /var/log/messages 

sealert -1 AVC_denial_message_id_number 


Capitulo 25: Protegendo o Linuxem uma rede 


1 - Para instalar o utilitario NetWork Mapper (nmap) em seu sistema local Linux: 

a. No Fedora ou o no RHEL, digite yum install nmap na linha de comando. 

b. No Ubuntu, nmap pode vir pre-instalado. Se nao, digite sudo apt-get 
install nmap na linha de comando. 

2 - Para executar uma varredura de conexao TCP em seu endereęo de loopback local, 
digite nmap -sT 127.0.0.1 na linha de comando. As portas que voce tern em 
execuęao em seu servidor Linux variarao. Mas podem parecer semelhantes ao 
seguinte: 

# nmap -sT 127.0.0.1 


PORT 


STATE 


SERYICE 


25/tcp 


open 


smtp 


631/tcp 


open 


IPP 


3 - Para executar uma varredura de conexao UDP em seu sistema Linux a partir de um 
sistema remoto: 

a. Determine o endereęo IP do servidor Linux, digitando ifconfig na linha de 
comando. O resultado sera semelhante ao seguinte e o endereęo IP do sistema vem 
depois de “inet addr : ”, na saida do comando ifconfig. 

# ifconfig 




p2pl Link encap:Ethernet HWaddr 08 : 00:27:E5:89:5A 

inet addr:10.140.67.23 

b. A partir de um sistema Linux remoto, digite o comando nmap -sU endereęoIP 
na linha de comando, usando o endereęoIP que voce obteve a partir do comando 
anterior. 

4 - Para verificar se o daemon ssh em seu sistema Linux utiliza suporte a TCP Wrapper, 
digite ldd /usr/sbin/sshd | grep libwrap na linha de comando. O 
resultado sera semelhante ao seguinte, se ele usar suporte a TCP Wrapper. Se nao usar, 
nao havera nenhuma saida. 

$ ldd /usr/sbin/sshd | grep libwrap 

libwrap.so.O => /lib/libwrap.so.0 (0x0012f000) 

5 - Para permitir o acesso as ferramentas de ssh em seu sistema Linux a partir de um 
sistema remoto designado e negar qualquer outro acesso usando TCP Wrappers, voce 
tera de modificar tanto o arquivo /etc/hosts . allow como o arquivo 
/etc/hosts . deny . As modificaęóes serao semelhantes ao seguinte: 

# cat /etc/hosts.allow 

sshd: 10.140.67.32 

# 

# cat /etc/hosts.deny 

#. . . 

ALL: ALL 

6 - Para determinar as atuais politicas e regras de firewall denetfilter/iptables 
de seu sistema Linux, digite iptables -L na linha de comando. 

7 - Para limpar as atuais regras de firewall de seu sistema Linux, digite iptables -F 
na linha de comando. Para restaurar as regras de firewall em um sistema Fedora ou 
RHEL, digite iptables-restorę < /etc/sysconfig/iptables. 

8 - Essa e urna pergunta dificil! \bce nao pode configurar a politica de firewall de um 
sistema Linux para rejeitar. \bce pode configura-lo para descartar, mas nao rejeitar. 
Para configurar a tabela de filtro de firewall do seu sistema Linux para a cadeia de 
entrada como urna politica de DROP, digite iptables -P INPUT DROP na linha 
de comando. 

9 - Para mudar a politica da tabela de filtro do firewall do sistema Linux de volta para 

accept para a cadeia de entrada, digite iptables -P INPUT ACCEPT na linha 
de comando. Para adicionar urna regra a firn de descartar todos os pacotes de rede 
provenientes do endereęo IP, 10.140.67.23, digite iptables -A INPUT -s 

10.140.67.23 -j DROP na linha de comando. 



10 - Para remover a regra que voce adicionou acima, sem limpar ou restaurar as regras de 
firewall do seu sistema Linux, digite iptables -D INPUT 1 na linha de comando. 
Isso pressupde que a regra que voce adicionou acima foi a regra 1. Se nao, mude o 1 
para o numero de regra apropriado em seu comando iptables. 
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Seu guia definitivo para se tornar 
um especialista em Linux 

Como um renomado autor em Linux e instrutor em tempo integral de 
Red Hat, Christopher Negus tern ajudado milhares de usuarios iniciantes e 
experientes em Linux a se tornarem profissionais certificados. Nesta edięao 
inteiramente atualizada do popular Linux, A Biblia Negus e a colaboradora 
Christine Bresnahan dao a voce um completo tutorial Linux, incluindo uteis 
exercicios no finał de cada capitulo. 


Este livro e urna ferramenta pratica e urna excelente referenda que fara 
voce se converter de um iniciante em um usuario avanęado. 

Se voce quer... 

• Aprender Linux, mas nunca o usou antes 

• Adquirir urna base para se tornar um profissional certificado em Linux 

• Iniciar em urna carreira que vai durar decadas 

• Dominar habilidades que voce pode usar em todas as distribuięóes Linux 

...este e o livro para voce. 

Saiba como: 

• Instalar, configurar e usar poderosos 
sistemas Linux para desktops e servidores 

• Configurar o sistema desktop Linux perfeito 

• Executar tarefas de administraęao de sistema criticas 

• Configurar seus próprios servidores de impressao, arquivo e web 

• Obter um sistema estavel e seguro usando 
ferramentas de seguranęa do Linux 

• Dedicar-se a computaęao no nivel corporativo 


Inicie com 
qualquer sistema 
Linux e avance 
para a computaęao 
corporativa 
utilizando Linux 

• Utilize sua distribuięao 
Linux favorita para 
aprender e testar suas 
habilidades com as 
ferramentas de linha de 
comando do Linux 

• Aprenda tarefas de 
administraęao de 
sistema profissional 
usando o Fedora, o Red 
Hat Enterprise Linux 

ou outros sistemas 
corporativos 


Chris Negus e instrutor da Red Hat, Inc. e autor de dezenas de 
livros sobre Linux e UNIX, incluindo todas as edięóes do L/nux, 

A Biblia, CentOS Bibie, Fedora Bibie, Ubuntu Linux Toolbox, Linux 
Troubleshooting Bibie, Linux Toys e Linux Toys II. Christine Bresnahan 
tern mais de 25 anos de experiencia como administradora de 
sistemas. £ professora adjunta do lvy Tech Community College, 
onde leciona administraęao de sistema Linux, seguranęa em Linux e 
seguranęa em Windows. Ela e coautora de Linux Command Linę and 
Shell Scripting Bibie, 2nd Edition. 


®WILEY 


J /paraleigos 
| /para_leigos 


ALTA BOOKS 

E D I T O R A 

www.ahabooks.com.bf 


Categoria: 

Computadores / Sistemas operacionais / Linux 

Nivel: 

Iniciante / Avanęado 

Imagem da capa: 
Aleksandar Valasevic / iStockPhotos 


































